Так же есть уязвимость в добавить новость при вставке в тема или заголовок (точно не помню как правильно ) <scrip*t>alert(*)</scrip*t> выдаётся алерт тестировалось на локалхосте с последней версией счкачаной вчера