SQL inj

В поле ввода логина вводим ( ' )

Активная XSS
Идем в профиль ( /account/do_options.html ), в поле, например, MSN пишем "><script>alert()</script><"
Затем идем в Файлы и оставляем коментарий.
Пример: http://beta.eleanor-cms.ru/files/тестовая-категория-файлов/тестовый-файл.html

PS: с функцией SaveBb из класса Bbcodes были бы вы по осторожнее, там до выполнения произвольного кода 1 шаг ...

SQL-injection:
http://beta.eleanor-cms.ru/admin.php - админка. Символ ' в поле Логин и вылетает ошибка.
Полный путь: <вырезано>

Если вылетает ошибка - это еще не значит, что присутствует SQL-inj.

Спасибо, передам непосредственно разработчику. Кстати тут можете скачать сам дистрибутив системы, система пока только на стадии тестирования, и будем вам премного благодарны если найдёте ещё баги.

Все заявленые ошибки пофиксены. Сайт будет обновлен вместе с дистрибом системы в течении 3х часов.

Багов я так понимаю больше нету?
Систему в принципе можно считать достаточно безопасной?

Имхо, баги еще остались, у меня пока нет времени полностью код движка просмотреть ..

Если дыры ещё остались то ткните пальцем пожалуйста)) Просто я их в упор не вижу.

Финальная версия уже не загорами и не хотелось бы чтобы страшные дыры были в финальной версии, лучше всё исправить ещё на стадии RC.

Дыры ищите не только на бете, а в самом движке, ссылку на скачку я выше давал.