e107 <= 0.7.13 (usersettings.php) Blind SQL Injection Exploit
Уязвимость вышла в свет 21 октября, 2008 © securitylab.ru

Уязвимость существует из-за недостаточной обработки входных данных в ключах массива "ue[]" в сценарии usersettings.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Сам эекслойт под неё:
http://www.securitylab.ru/bitrix/exturl.php?goto=%2Fpoc%2Fextra%2F361578.php

Ну и вопрос, кто нибудь знает как закрыть дырку?