vielen Dank für Ihre Mail und Ihren Hinweis zu XSS.
Die von Ihnen beschriebenen Sicherheitslücken erlauben jedoch “nur” einen nicht-persistenten Angriff. Zu Schaden käme ein User oder die Website, wenn wir die Eingaben bzw. übermittelten Parameter ungefiltert z.B. in unsere Datenbank speichern würden. Das ist aber nicht der Fall. Insofern kann jemand mutwillig das Aussehen der Seite verändern, wenn er gewissen Seiten mit speziellen Parametern aufruft, aber dauerhaft ist das zum Glück nicht…

Allerdings haben wir ihren Hinweis dankend aufgenommen und werden auch die Ausgabe der Request-Parameter vorher codieren.

(…)
Geschäftsführung
Leitung Technik

Auch Registrierung und Login sind von der Lücke betroffen!

Der Angriff erfolgt auch beim Login per POST, d.h. ein Opfer kann aus der Adresszeile des Browsers nicht ersehen, dass er gerade im Begriff ist seine Zugangsdaten einem Hacker zu überlassen.