W w-CMS odkryto dwie dziury. Pierwsza z nich spowodowana jest nieprawidłowym oczyszczaniem danych wejściowych przesyłanych za pośrednictwem parametru "p" do index.php. Dane te są nieprawidłowo oczyszczane w funkcji "getMenus()". Pozwala to na wykonanie dowolnego kodu HTML i skryptu w kontekście sesji użytkownika. Ponadto dane wejściowe przekazywane za pośrednictwem parametru "COMMENT" do index.php nie są odpowiednio oczyszczane przez użyciem ich w codes/blog.php, codes/guestbook.php i codes/forum.php. Napastnik może dzięki temu wstrzyknąć dowolny kod HTML lub skrypt i wykonać go w kontekście sesji użytkownika.

Błędy potwierdzono w wersji 2.01.

Źródło: ArcaBit