SimpNews 2.41.03存在多个跨站脚本攻击漏洞,远程攻击者可以借助(1) admin/layout2b.php的username参数,以及(2)comment.php的backurl参数注入任意web脚本或HTML。