A través de los reportes que se generan por Simos (Arcert) se detectó que existe la posibilidad de ejecutar scripts desde la URL.
Ejemplo: http://dominio_guarani/notificarse.php?fStatus=-1&fueraFrameSet=1&fMsg=
Para solucionar este inconveniente, editamos notificarse.php, aplicando sobre la variable que muestra el mensaje, la función htmlspecialchars() que evita que el script introducido por el usuario sea interpretado como código HTML, es decir lo toma como texto.
Reemplazamos echo $fMsg; por echo htmlspecialchars($fMsg);
Quizá haya otra alternativa de solución, esperamos la compartan.