Для версия <=2.0.16.
Выполнение Javascript'а на пользовательской машине возможно из-за некорректной работы регулярных выражений парсинга bb-кодов [url].
BBcode [url] парсится следующим образом: скрит рассматривает 4 возможных случая применения этого бб-кода:
[url]xxxx://www.phpbb.com[/url] code
[url]www.phpbb.com[/url] code.. (no xxxx:// prefix)
[url=xxxx://www.phpbb.com]phpBB[/url] code
[url=www.phpbb.com]phpBB[/url] code.. (no xxxx:// prefix)
В найденной уязвимости фигурируют второй и третий вариант. Невнимательность программистов заключается в недостаточном контроле над тем, что следует после www. - скрипт отвергает только символы:
<пробел>\"\n\r\t<
Что вполне допускает например такую конструкцию:
[url]www.[url=www.s=''style='top:expression(eval(this.sss)); 'sss=`alert('lol');this.sss=null`s='][/url][/url]'
Нашел уязвимость: Zadoxlik