Multiple cross-site scripting (XSS) vulnerabilities in vBulletin 5.1.1 Alpha 9 allow remote attackers to inject arbitrary web script or HTML via (1) the PATH_INFO to privatemessage/new/, (2) the folderid parameter to a private message in privatemessage/view, (3) a fragment indicator to /help, or (4) the view parameter to a topic, as demonstrated by a request to forum/anunturi-importante/rst-power/67030-rst-admin-restore.
Múltiples vulnerabilidades de XSS en vBulletin 5.1.1 Alpha 9 permiten a atacantes remotos inyectar script Web o HTML arbitrarios a través de (1) PATH_INFO hacia privatemessage/new/, (2) el parámetro folderid hacia un mensaje privado en privatemessage/view, (3) un indicador de fragmento hacia /help o (4) el parámetro view hacia un tema, tal y como fue demostrado por una solicitud hacia forum/anunturi-importante/rst-power/67030-rst-admin-restore.
