un usuario de smf me dijo esto:
CitarActually it is kind of high risk since managing news isn't an admin permission, it's its own permission which would give access to the relevant admin area...
Oops.
me podrian traducir un poco por que no se mucho ingles y el google traductor no quiere ser mi amigo.
quizás no sea gran cosa este error ya que si o si para explotarlo necesitas privilegios de administrador pero en fin es un XSS. en mi foro personal quize escribir una noticia y se me ocurrio que podria ir una alerta e introduci el famoso alert() y me dio la alerta. cuando vamos al index vemos que tambien sale el alerta pase o no pase por esa noticia :D. el error se encuentra en:
index.php?action=admin;area=news
(http://www.imageshost.us/image.php?id=1497_4D12664D)
(http://www.imageshost.us/image.php?id=9B28_4D126621)
saludos :D
seh, en el foro usamos eso para poner algunas noticias..