Vulnerabilidad en SimpleInvoices (CVE-2012-4932)

Múltiples vulnerabilidades de ejecución de comandos en sitios cruzados (XSS) en SimpleVoices antes de stable-2012-1-CIS3000 permiten a atacantes remotos inyectar secuencias de comandos web o HTML a través de (1) el parámetro 'having' de una acción 'manage' a index.php, (2) el campo Email en una acción 'Add User', (3) el campo Nombre del cliente en una acción 'Añadir Cliente', (4) la dirección de la calle, (5) Street Address 2, (6) Ciudad (7), código postal, (8) Estado, (9) Campo (10), teléfono móvil (11) teléfono, (12) fax, (13) email, (14) nombre de la empresa en PayPal, (15) url de notificación de PayPal, (16) url de retorno de Paypal, (17) ID de cliente de Eway, (18) campo personalizado 1, (19) campo personalizado 2, (20) campo personalizado 3, o (21) campo persoalizado 4 en acción 'Add Biller', (22) el campo Cliente en una acción de 'Agregar facturas' , (23) factura, (24) el campo Notas en una acción de procesar pago, (25) el campo de descripción de tipo de pago en una acción 'Payment Types', (26) el campo Descripción en una acción Preferencias de factura, (27) el campo Descripción en una acción 'Manage Productos', o (28) en el campo Descripción de la acción 'Tax Rates'.