http://poligon-chat.net.ru/? - исходная ссыль.

Короче,помутил там немного(заняло это минуты 2,если не меньше) и вот что обнаружил:
если добавить к исходной ссылке чата это - "=><script>alert(/xss/)</script> = http://poligon-chat.net.ru/?"=><script>alert(/xss/)</script> ,то открыв чат с таким тегом и зайдя в "команды" или "чатовцы" вылезает алерт /xss/ . Кстати,внутри раздела "команды" если добавить тег,приведённый выше,к написанному в адресной строке,то зайдя,скажем, в "Инфа о зареганных пользователях" - вылезет такой же алерт /xss/ .

Люди,это глюк или это в натуре открытая xss в чате бородина?

P.S. пробовал то же самое в нескольких других чатах на этом же движке - не было никакого алерта.