Первый пример: test
Второй пример:

Каких вы там нанимаете специалистов по безопасности - остаётся только догадываться :)

Мною были использованы лишь встроенные так называемые BB-теги, которые есть в каждой версии CMS с включённом форуме. Для примера на том же Demo-доступе присутствует аналогичная уязвимость. А то что постить сообщения могут только зарегистрированные пользователи - так это вообще не преграда, потому что форум нужен как раз затем, чтобы на нём можно было регистрироваться и общаться.

И да, я зарегистрировался специально, чтобы отписать ою уязвимости в продукте, за который вы просите денег :)

Заманил тот факт, что вы нанимаете для аудита людей со стороны, вот и стало интересно на сколько это эффективно. Ну и под общую мелодию ленивости техподдержки к таким случаям тоже интересно было посмотреть на вашу оперативность. Услуг на данный момент предлагать не могу, потому что процесс открытия полноценной компании, которая этим будет заниматься, пока ещё не закончен. А раз нет "лица", то и говорить с нами никто не захочет, а уж тем боолее платить деньги. Ну а в целом сие "действие" запланировано как эдакий вид рекламы, когда клиенту сначала предоставляется запугивающся, но не зловредная демонстрация, а потом предлагаются услуги. Потому что в РУ-зоне всё ещё никак не могут привыкнуть к тому, что за безопасность тоже нужно платить, и пока не припечёт никто и пальцем не пошевелит.