Crash 0verride

Здравствуйте. Недавно мы обнаружили скрытый потенциал XSS атаки. Мы разместили статью на http://evex.cc/?page_id=59 и назвали эту уязвимость XSS 2.0. Так вот. Баг заключается в том, что используя мало мальские знания html и голову на плечах атакующий может создать evil страницу содержащую злонамерный код. И спровоцировать человека имеющего доступ к сайту на котором установлен тот или иной энжин на посещение этой страницы, что приведет к плачевным последствиям. Самое главное то, что человек имеющий доступ к сайту ничего не заметит как в backgroud исполнятся команды взломщика. Это очень важно прислушайтесь! Еще нужно заметить очень важный момент. Код исполнится только в если админ или любой другой человек залогинен в админке этого энжина на который производится атака и у чела есть достаточно прав на создание/редактирования/исполнения. Следует добавить о том, с помощью данной баги можно задефейсить, добавить нового админа, залить шелл (сложнее), при желании можно сделать все что угодно если только у самого двигла есть на то функция, а у атакуемого чела права на это сайт/форум/гостевую книгу и любые другие движки, которые не проверяют рефереры. Скажу лишь, что больше 60-70 % всех двиглов в интернете подвержены такой атаке.
Смотрите статью вобщем там более полно изложена суть уязвимости. Адиос.