ИМХО, это не уязвимость в библиотеке, а фича. Плагин просто предназначен для статических сайтов, где администратор может вставить HTML куда ему нужно (туда, где уязвимо), например для жирного текста, курсива и т.п. Тут лучше фильтрацию в самом движке добавить.
Если не работает голосование за что либо, переключение вкладок прямого эфира, то ни в коем случае не говорите никому что находится в логах сервера и что показывает Firebug! Там всегда пишут какую-то чушь и вы лишь запутаете людей, желающих вам помочь.
простите, не удержался.
Это не баг.
maybe?
в config.local.php проверить слеш