я чёта непонял =) Чё за фигня))) там что авторизация на сессиях которая в куки записывается))) ??????? Сорсы есть у когонить???

В админке есть возможность загрузки файлов php. Находится в "структура сайта-управление"

Качество картинки позорное, но если присмотришься - там есть ссылка "загрузить файл". Загружаешь со своего винта shell.php и не надо редактировать индекс, только попалишься.
Я се скачал инсталлер, 18 мег. В отзывах о товаре имеется одна XSS.

2BlackPrince - спасибо, залил.

Php по умолчанию записывает сессию в куки,и в ссылки вставляет переменную,сначала пытается использовать куки,если получилось то из ссылок сессия удаляется,если нет то куки не используются.
И чему же тут удивляться? Просто принцип работы знать нужно.