el problema es que un visitante no puedo escribir un mp, no puede ver un mp, no puede escribir un post, no puede comentar, mas que "visitante" es un "nopuedes" jajaj

para nada xD! pero whk aclaro o no me acuerdoq uien porq ya me re perdi en esto que la puede ejecutar un visitante! che como que esto ya es chat no?

Dejar de preocuparos por quién puede o no puede utilizarlo... Pensar un posible sitio dónde alguien pueda meter algo y enredar...xD Con el tiempo que se pierde preguntando seguro que alguno ya lo habría encontrado!! 

Y lo que yo he entendido (si la memoria no me falla) es que el XSS de WHK lo puede poner cualquier persona en cualquier post, y como los visitantes pueden ver dicho post van a ejecutar el script... Y el XSS de notxor (creo que era así), por el template debe estar en el 'login' o en el 'reminder' y lo puede ejecutar cualquier persona, registrado o no, por lo que deberá ser un parámetro ($REQUEST, $SERVER...) no saneado.
En cualquier caso luego miraré lo que me parece y si lo encuentro bien y sino... Pues a ver si alguien ha mirado por otro lado y ha tenido más suerte...

Eso es más misterioso que el propio bug...XDD

Vallan a esta Dirección y digan quiero explotar el XSS y listo

Claro , quieres que te tomen preso . Pero bien tapada no se nota ^^