Ну касаемо первого то это конечно не баг )) Просто еще раз погдтверждает факт о том, что передача номера сесии через GET запрос потенциально опасно.

А касаемо второго - тоже не очень полезно, потому что админом просто так не стать %) Но эту уязвимость можно добавить в раздел CGI-уязвимостей.

Я смотрел GTChat 0.95 на примере http://www.ddd.kursknet.ru , уязвимостей не нашел. Довольно грамотно все подлатано.