Durch Zufall auf eine veraltete Version von Mantis (installiert: 1.0.6, aktuell: 1.2.11) aufmerksam geworden; Betreiber eine Mail mit der Lücke und URL-Shortener geschickt.
Es passiert, was passieren muß:
Betreiber klickt auf den Link, legt dank XSS-Lücke einen vordefinierten Admin-Account an, und der Vorgang wird auch artig per Email versandt.
Man hat umgehende Behebung der Problematik versprochen.
(wen wundert’s 😉
Aber auch hier gilt:
Information und Sensibilisierung aller Betroffenen, Änderung ALLER Kennwörter..