気になって「QHM 脆弱性」で検索してみる。
2012年9月の情報として直ぐに見つかりました。

BBSのプラグインを使っている場合、投稿内容として
任意のHTML、JavaScriptが許可され、JavaScriptは
実行されてしまうという事のようです。

#article プラグインが問題があり、GitHubのqhm6.04でも
回避していないようです。今テストしたら管理者でない書き込みで
任意のJavaScriptが実行出来てしまいました。

#article プラグインを利用されている方は注意したほうが
いいようですね。

とりあえず、ブログの設定からコメント非表示に変えました。

これで、一斉にすべてのブログのコメント欄が非表示になりました。
とりあえずは、一安心というところでしょうか。

>ただ、まだ　#comment2　というのは、残っているのですが、これも基本的に
>誰でも書き込みができます。こちらも同じようなものなのでしょうか？

beeさんの

#HTML{{
<script>
alert(document.cookie);
</script>
}}

　を書き込んでみました。そのままテキストで表示され、動作はしませんでした。編集でこのコメントも、文章として普通に削除できました。とりあえず安全？

Qblogのコメントにも書き込んでみました。
これも同様に実行されずテキストとして表示されるだけでした。
編集から削除もできました。

Qblogのコメント欄はとりあえず安全です。

#articleは
「PukiWiki記法からHTMLへ変換されるところ（本文）にPukiWiki記法を自由に追記できてしまう」
のがダメです。

なので、PukiWiki記法を変換しないQblogのコメント欄にはこの脆弱性は発生しません。

#comment2はとりあえず安全です。

なぜかというと、comment2プラグインは書き込んだコメントの先頭に '- ' を付け加えるためです。
'#comment2()' を 'a#comment2()' などに書き換えると動かなくなりますよね。
その行が#から始まっていないと実行されないんです。
（これはセキュリティ機能ではなくて、PukiWikiの仕様の都合です）

ちなみに&から始まるプラグインはどこでも関係なく利用できます。&br;とか。
brプラグインは '#br' でも '&br;' のどちらでも使えます。
プラグインによってできるものとできないものがあり、htmlプラグインは '#html{ }' はできますが '&html{ }' はできません。
html2プラグインも同様です。

なので、#comment2については今のところ安全でしょう。
htmlプラグイン以外に<script></script>を書き込めるようなプラグインがなければ、という条件付きですが。

HAIK-teamから返信があり、事実確認と対策を考えるということです。
とりあえず提起した問題は認識されました。

>気になって「QHM 脆弱性」で検索してみる。
>2012年9月の情報として直ぐに見つかりました。
>
>BBSのプラグインを使っている場合、投稿内容として
>任意のHTML、JavaScriptが許可され、JavaScriptは
>実行されてしまうという事のようです。
>
>#article プラグインが問題があり、GitHubのqhm6.04でも
>回避していないようです。今テストしたら管理者でない書き込みで
>任意のJavaScriptが実行出来てしまいました。
>
>#article プラグインを利用されている方は注意したほうが
>いいようですね。