LAC から 4月4日に「SNS Advisory No.86 SquirrelMail Cross-Site Scripting Vulnerability」として出ていたものですね。このあたりを見る感じでは、IEを使って SquirrelMail にアクセスした場合に、スタイルシートに含まれる "exp/* */ression" みたいなのでスクリプトを発動させられた、ということですかね。それにしても、2月10日(2月23日?)に修正版がでて、4月4日に発見者からのアドバイザリが公開されているのに、JVN での公表が今日になってというのは、どういう流れなのでしょう…。
参考: スタイルシート内のXSS脆弱性について(はてなダイアリー日記)