Ho avuto anche io un problema simile tempo fa in un sito con joomla. Qualcuno è riuscito a scrivere del codice nel file del template che ovviamente, essendo incluso in tutte le pagine, veniva propagato in tutto il sito. Ho studiato a lungo la problematica ed ho concluso, per varie ragioni, che non poteva trattarsi di una vulnerabilità XSS, nel senso classico.
Il file di template ha permessi di scrittura in quanto può essere modificato dal pannello di amministrazione. Ho semplicemente tolto i diritti di scrittura e non ho più avuto problemi, tanto se devo modificare il template lo faccio in locale.