すでにCVS版ではファイルごと削除されていますが、anchor プラグインに、
#"></a><SCRIPT>alert()</SCRIPT>
といった引数を渡すことで、ページ閲覧者のブラウザ上でScriptを実行できてしまうようです。(Win98 + IE6.0.2800.1106で確認) とりあえず作成したパッチを添付します。