Vulnerabilidad en Aplicación V3 Chat (CVE-2006-3366)

Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados en V3 Chat, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de etiquetas HTML manipuladas como se ha demostrado a través de la etiqueta IMG en: (1) parámetro id en (a) mail/index.php y (b) mail/reply.php; (2) parámetro login_id en (c) members/is_online.php; (3)parámetro site_id en (d) messenger/online.php, (e) messenger/search.php, y (f) messenger/profile.php; (4) parámetro contact_name en messenger/search.php; (5) parámetro membername en (g) messenger/profileview.php; (6) parámetros sin especificar usados cuando se edita un pérfil ("editing a profile"); y (7) parámetro cust_name en (h) messenger/expire.php. NOTA: el fabricante discute que los vectores que afectar a los archivos en el directorio "messenger", afirmando que "... la carpeta referenciada 'messenger' jamás está disponible al público en general..."