Кстати первая уязвимость, которую я использовал)
Знач суть такова, что в заголовке не фильтруется текст на javascript.
Создаешь в календаре событие(желательно на сл.год ) с заголовком, содержащем XSS.
Создал? смотри ссылку в браузере - там после &е= будет число.
Далее подставляешь - http://example.com/vbulletin/calenda...addreminder&e=[тут число]
впариваешь эту ссылку админу и будет тебе счастье.