Версия: 3.1.0 PL1, возможно другие.

Раскрытие путей:
1) http://site/path/index.php?form=NewPassword&action=new&u=1&k[]=
2) http://site/path/index.php?form=UserLogin&s[]=
Эти параметры уязвимы и вызывают раскрытие и в других местах.

Активная xss:
Создаём тему\пост, в нём картинку: [img]javascript:alert(document.cookie)[/img]
Далее нужно любого юзера\модератора\администр атора заставить отредактировать\цитировать ваш пост. Тут требуется немного СИ, но в целом - не сложно. Нажав копку "edit" он увидит алерт со своими печеньками.

Проверенно работает в Opera и IE в FF не сработало.


Фича:
Возможность проспамить\зафлудить e-mail любого пользователя, нету ограничений на отправку.
http://site/path/index.php?form=Mail&userID=1

Выполнение произвольного кода и недокументированная возможность редактирования стандартных тем:
Требуются права админа.
Итак, логинимся под админом, переходим
Design -> Templates -> Add new template pack
Там вбиваем:
Template pack name - "/"
Template pack folder name - "/"
(без кавычек)

Далее переходим в List Templates и выбираем наш "/".
Нажимаем "Add new template".

Вбиваем:
Template source code - любой php код, напимер шелл.
Template name например shell.php

А теперь внимание - финт ушами. Нам понадобиться FireFox и его дополнение Tamper Data:
Включаем перехват, нажимаем в форме "Submit" и в Tamper Data правим параметр "templateName" заменяя его значение на что-то вроде
где ../shell.php путь к создаваемому файлу относительно папки templates.
Вот и всё, шелл залит. Да, и файлы - перезаписываются. Пока тестил случайно удалил index.php. Так-то.

К слову, если вместо shell.php писать просто index, то мы перезапишем стандартный шаблон, что является не документированным и по умолчанию запрещённым.



ps. возможно, будет дополняться.