Ah oui, j'ai vu ça aussi tout à l'heure... enfin sur la page que j'ai vue il y avait en apparence juste un texte défilant, mais effectivement c'était dans un commentaire.

Plus de détails : 1, 2.

Et apparemment on peut "remercier" ce type pour ça.

C'est quand même fou qu'il y ait encore des gens qui ne sachent pas comment éviter les injections HTML, surtout sur des sites de cette envergure... C'est pas compliqué en plus.