я нашёл ещё 1 уязвимость в паблик скрипте - которой нету в паблике(уязвимости )
итак, на этот раз это XSS присутствует в журналах
Open Journal Systems - версию определить неудалось, предполагается что во всех ныне используемых.
http://pkp.sfu.ca/?q=ojs - сайт разработчика


Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной обработки данных в адресной строке.Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценарий в браузере жертвы.

Способ устранения уязвимости не известен в настоящее время.

примеры:

и
т.е. мы подставляем сразу после id=**свой скрипт и всё