Ce n'est pas à proprement parler le onmouseover qui n'était pas filtré, mais le fait que dans certaines conditions, quand il y avait une url dans le twit, avec un format particulier, le contenu non filtré se retrouvait dans l'attribut de la balise <a>. Donc il était possible de fermer l'attribut avec un guillemet, et insérer des attributs autres; par exemple un 'style' pour faire de jolis arc-en-ciel. Ou utiliser la déclaration d'événements javascript (et donc le onmouseover).
# Correction sur la vulnérabilité
Posté par Sebastien (site web personnel) . En réponse au journal Nouvelle vulnérabilité découverte dans Twitter. Évalué à 8.