Интерестный факт. У самих разработчиков была уязвимость XSS в системе поиска:
http://www.typo3.net/suchen/?mmfsearch[searchstring]=><script>alert('xss');</script>
Сейчас уже устранена. В последней версии не наблюдается. Тем у кого более старые версии, лучше проверить.