бугага
вы перед тем как вам аватар заливаю проверяйте картинка ли это вообще

BlackSun: без подробностей - это оффтоп.

Зачем в CMS встраивать цитатник ?

По теме - http://beta.eleanor-cms.ru/files/do_add.html - что-то файлы не загружаются. Страничка с 11111 появляется и всё

Вы бы по подробней...

И вам по подробней, скрин желательно, ибо у себя всё нормально.

Я смотрю шелл уже залили) Ну чтож, посмотрим удастся ли вам им воспользоваться
Пожалуйста сообщите о результатах.

можно в виде аватара залить даже php файл
перехватив post запрос, gjcnfdbd там image/gpeg
но запустить не удаеться тк аватары уже движком переделываються в jpg
локальный инклуд решил бы проблему

скачаю исходники посмотрим что моно сделать

Можно название PHP файла залитого в JPG?

uploads/uploaded_avatars/av-233.jpg

Вы сначала переименовали файл а потом загрузили?

Вообщем в любом случае Fixed.

мельком просмотрел двиг
есть несколько xss, правда условие register_globals = on, на сервере где стоит демка видимо off, поэтому не работает

install/template/index.php
переменные $title, $head_addon, $head, $text, $copyright


install/template/Message.php
переменная $title

также куча xss в файлах в папке /templates/, но там решает .htaccess, хотя на него пологаться не стоит, если веб-сервер будет не апач, все баги вылезут

__________________
God forgive me for I have sinned
It’s been six months since my last confession
There is nowhere that I can run to
My soul I place in your hands