Здравствуйте. Покопайте тут:

Заливка шелла в CMS - RDot: White Hat Security Community

Заливка шелла в CMS Сценарии/CMF/СMS

rdot.org


Заливка шелла в форумы - RDot: White Hat Security Community

Заливка шелла в форумы Форумы

rdot.org


OWASP Web Security Testing Guide

The Web Security Testing Guide (WSTG) Project produces the premier cybersecurity testing resource for web application developers and security professionals.

www.owasp.org


Методы обхода фильтров по расширению при загрузке файлов

Если во время пентестов система или приложение позволяет загружать любые файлы, то задача, связанная с получением доступа к серверу и выполнением вредоносного кода, упрощается.

www.securitylab.ru


Что-то про вашу CMS даже гугл ничего не знает.

Поправить какой нибудь шаблон нет возможности?
Необязательно загружать, можно просто добавить строку своего кода.

Это интернет магазин. Могу скрин загрузить.

недопустимое расширение файла с изображением, возможны только: jpg, jpeg, gif, png. //подчеркнул имя и расширение файла,которое сайт ставит в наглую сам, в независимости от того какое имя от загружаемого или модифицированного(запроса имени-расширения)