IPB 3 - Javascript Injection

[Avallach]

Witam wszystkich
Ostatnio znalazłem metodę aby wstrzyknąć do ACP w oprogramowaniu forum IPB 3 JavaScript, tak że nie zostanie on w żaden sposób przefiltrowany, a wykonany na komputerze każdego wchodzącego tam administratora, na co dostałem potwierdzenie od jednego z nich. Pojawia się teraz pytanie: jak najlepiej to wykorzystać. Nie uważam się za speca w tej dziedzinie, jedyne co mi przyszło do głowy to kradzież cookies i sfałszowanie własnych w celu przejęcia sesji, lub automatyczne przekierowanie do linku z wbudowanym poleceniem nadania mi praw administratorskich (oczywiście na dodatkowym, fałszywym koncie). Zebrałem już sporo materiałów na temat pierwszej techniki, zdążyłem też pobrać IPB 3 i będę je właśnie instalował na swoim serwerze w celu sprawdzenia potencjału metody z przekierowaniem.
Czy tego typu luka jest czymś niezwykłym, czy raczej popularnym i niegroźnym?
Czy jako bardziej doświadczeni macie jakieś rady w tej sprawie?