Die ist in vielen Foren und Kontaktseiten aber gegeben, da dort oft veressen wird, Benutzereingaben kontextgerecht zu codieren.

Wenn also z.B. ein Benutzer einer Kontaktseite in der Lage ist, in seinem Benutzerprofil HTML unterzubringen, das dann auch noch (ungefiltertes) inline-CSS enhalten kann, ist schon eine doppelte Lücke vorhanden.

Das gibt es öfter, als man glauben mag.

phpbb hatte afaik mal in der vergangenheit eine lücke, die unter bestimmten umständen erlaubte, javascript ungefiltert in signaturen zu verwenden - hiermit war es dann möglich die benutzerinformationen der eingeloggten benutzer ausfindig zu machen

da die userid auch als cookie hinterlegt war, war so sehr einfach an die session von administratoren und moderatoren zu kommen - mit geklauter session eingeloggt konnte man zwar nicht das passwort des admin/mod ausspionieren, aber dennoch das passwort neu zuschicken lassen um dann damit schindluder zu treiben

es reicht schon, wenn man sich als admin einloggen kann um einen neuen admin zu erzeugen - bei foren mit mehreren 10.000 benutzern und einer fülle an moderatoren ist das teilweise nicht überschaubar, wenn da einer mehr oder weniger entsprechende rechte hat