Бу, ну как - новых уязвимостей не появилось?

А-то руки чешутся git push сделать с багфиксами =)

А пока поделюсь:

Как известно, в движке, на данный момент, есть система репутации (Респекты).

Так вот, даже если юзер отключил приём личных сообщений, то:

1. Ему вс1равно будут идти сообщения от системы репутации

2. Система не делает валидацию того за то получает человек респект (т.е можно получить/дать респект/антиреспект за торрент который ты не заливал/которого вообще не сущесвтует )

Пример:

simpaty.php?action=add&good&targetid=1&type=torren t1

Меняем type=torrent1 на torrent12345 и респект всёравно проходит.

Не совсем уязвимость, скорее алгоритмическая недоработка