Blind sql injection y xss en la página de arba

A veces publico más seguido que otras veces porque tengo más suerte. Hoy es uno de esos días. Hoy a la mañana tenía preparado un post sobre un sueño que tuve un tiempo atrás y ahora encontré en la página de arba un xss y un sqlinjection. Aquí las capturas:

Estos errores son relativamente fáciles de explotar: un atacante solo debería escribir el siguiente comando para hurgar en las base de datos:

por supuesto, el error fue debidamente reportado.