Найденный XSS содержится в механизме
просмотра писем через веб-интерфейс
почтового портала. Engine сервера удачно
фильтрует теги типа <sсript>, однако не
проверяет тег <A> на внедрение
спецсимволов типа " или '. В итоге, можно
послать на любой почтовый ящик HotBox письмо,
содержащее в теле специальным образом
сформированную ссылку через тег <A>, и при
открытии такого письма через веб-интерфейс
Хотбокса исполнится javаsсript, внедрённый
через эту ссылку. Дальнейшее - дело техники
и фантазии атакующего. Например, неплохо
работает вариант с вставкой внутрь тега <A>
кода типа OnMouseOver='javаsсript:alert(document.cookie);', для
усугубления можно, во-первых, замаскировать
ссылку с помощью задания ей такого же цвета,
как и у фона, а также с помощью стилей
распространить ее действие на все окно.
Администрация извещена, обещано
исправление в ближайшее время.
Уязвимость обнаружена ERRor, dHtm.