Recientemente se descubrió esta vulnerabilidad en el complemento VideoWhisper 2 Way Video Chat, para el CMS Joomla. la vulnerabilidad consiste en un cross-site scripting (XSS) que permite la ejecución de código arbitrario en el navegador del usuario, causada por una mala validación de las entradas del usuario.

Vulnerabilidad en módulo Joomla

Un usuario malintencionado podría enviarle un link a su víctima y ejecutar algún código en su navegador que le permita robar cookies de autenticación, o cualquier otro código que desee.

Para explotar esta vulnerabilidad basta con crear un link como este http://www.example.com/index.php?r=[XSS]

Un ejemplo es este

XSS joomla

El enlace es el siguiente:

http://www.videowhisper.com/demos/2wayvideochat/index.php?r=%22%3E%3E%3Cmarquee%3E%3Ch1%3EXSS%20%20www.tecnologia.technology%3C/h1%3E%3Cmarquee%3E

Hasta ahora se está esperando un parche para solucionar esta vulnerabilidad. no se conoce alguna otra solución.