Другую XSS атаку провести не получится в связи с ограничением на количество символов. Но в случае, если в новых версиях Joomla данное ограничение будет изменено, или какой-либо владелец сайта на данном движке решит изменить данный лимит символов (увеличить его), то эта XSS сможет быть использовна для полноценной атаки. Поэтому разработчикам её также нужно исправить.

Это XSS уязвимость, проденстрированная моим примером с alert, и соответственно она несёт все риски Cross-Site Scripting уязвимостей. Лишь снижается риск в связи с необходимостью осуществления действий пользователем. Поэтому, чтобы понять какие риски несёт данная уязвимость, тебе нужно разобраться с тем, что такое XSS и как его можно использовать во вред пользователей и администраторов сайта.

Также эта дырка демонстрирует то, что разработчики Joomla плохо следят за безопасностью своей системы (в частности за XSS). И это хорошо видно из моих новостей, в которых Joomla часто фигурирует.

Понимать это нужно так, как написано. Код сработает, когда пользователь самостоятельно изменит (на странице с результатами поиска в Joomla) количество результатов поиска - изменит значение в комбобоксе. Т.е. данная XSS сработает лишь при определённых действиях пользователя.