A CSRF vulnerability was discovered in HelloTxt. An attacker can change some user information without having its login credentials. In the right circumstances, this can be exploited to change the password of any user.

Administrators has been notified. However, HelloTxt is still vulnerable. Therefore it is recommended to all users to not open any suspicious URL while logged at the site. and a patch has been applied at 4/7/2009.

This vulnerability has been discovered by Sergio Cruz Ramírez (aka Omega) & Rubén Díaz Alonso (aka outime).

---

Una vulnerabilidad CSRF ha sido descubierta en HelloTxt. Un atacante puede cambiar información del usuario sin tener sus credenciales. En las circunstancias adecuadas, puede ser utilizado para cambiar la contraseña de cualquier usuario.

Los administradores han sido notificados. Sin embargo, HelloTxt sigue siendo vulnerable. Mientras tanto se recomienda a todos los usuarios no abrir ninguna URL sospechosa mientras se está identificado en el sitio. y se ha aplicado un parche el 7/4/2009.

Esta vulnerabilidad ha sido descubierta por Sergio Cruz Ramírez (aka Omega) & Rubén Díaz Alonso (aka outime).