Особо не рылся канеша, но беглым взглядом сразу обнаружилось:

1. В настройках профиля в полях не фильтруются одинарные кавычки, что приводит к XSS
2. В куках сидят логин пользователя и захешированный md5 пароль. Соответственно брутить можно очень быстро.