Los webmasters de portales bajo PHP-Nuke 5.6 deberían tomar medidas urgentes para hacer frente a un nuevo riesgo: la posibilidad de que cualquiera pueda hacerse administrador de su sitio y -por tanto- controlarlo por completo...

Una vez más, el fallo radica en una vulnerabilidad XSS, en este caso en el módulo que permite el envío de mensajes privados. El fallo se explota mediante el envío de un mensaje privado al administrador, que incluye un script que lo remite a una URL maliciosa.
Mas información en:

http://www.avantel.net/~balero/exploits/exploit6.htm