Esta falha encontrada, se devidamente explorada, podia permitir aos hackers roubar os emails dos utilizadores e anexar código malicioso em mensagens outgoing. Podia também ser usada para redirecionar os emails da vítima a um site externo, mudar as configurações de email e levar a cabo outras atividades maliciosas. Essencialmente seriam estas as repercussões ou o impacto da exploração da falha.
Em termos técnicos, o XSS desdobra-se em três categorias: refletido, persistente e DOM-based. Neste caso, verificou-se a terceira categoria, já que tinha a ver com o modelo do objeto do documento, diretamente relacionado com o código HTML da página
Motivo da falha
O sistema carecia de uma decente filtração de código malicioso nos emails em HTML. Apesar de o investigador não ter fornecido detalhes técnicos, a falha estava relacionada com a filtração HTML básica.
Mais informações aqui: https://www.securityweek.com/researcher-earns-10000-another-xss-flaw-yahoo-mail