У нас в сети локальный форум есть, как раз на этом движке. Так вот, доводилось мне его изучать, я даже кое чего отрыл, но такак как у нас админами усе запорото (вставка картинок выключена и т.д.), то тему развивать не стал. Там есть вот такая XSS
(в слове javascript букву t нужно заменить на код & # 116 ; без пробелов)на форуме по твоему линку эта фенька срабатывает. Но даже если умудриться куки стырить, там одной подменой не покатит. Так что пока не судьба .....
З.Ы. Прикол. Я одному из админов сказал о баге, он сообщил девеложоперам, но те послали его сказав, что такой баги впринципе существовать не может, вот так