я нашел xss в одной из страниц этого портала

этот баг позволяет собрать страницу, которая (после открытия ее жертвой) уводит логин и пароль админа (если была открыта админка) или уводит логин и идентификатор пользователя в чате

если кому интересно могу дать сорцы =)