Hi again, I just found an other Script injection issue in Xoops Private Message Box. http://xooped-site/pmlite.php?to_userid=[USER_ID_OF_TARGET]&msg_id=&image=fo o.gif'><script>alert("test");</script><img%20src='http://www.isecurelabs.com /images/barre.jpg&op=submit&theme=snow&subject=Are you sure ?&message=really?&submit=Submit Again a lack of checks on users input on the *image* variable. To be continued... --- Cabezon Aurélien | aurelien.cabezon@isecurelabs.com http://www.iSecureLabs.com | French Security Portal ____________________________________________ " Sachez qu'aujourd'hui est le plus beau jour de votre vie, car c'est le premier de ceux qu'il vous reste à vivre "
