FR13ND, да я в курсе всего этого. Да какую версию не поставь, все равно дыры найдутся. Так что я за всем этим внимательно слежу.
А конкретно этот эксплойт все равно не сработает 
погуглил минут пять нашел еще кучу, но лень пробовать. Могу тока потестить експлоит с подбором пароля админа, если хочешь - вот этот -
if (empty($number_tries) || $time_stamp < (time() - 10))
{
// If it wasn't *that* long ago, don't give them another five goes.
$number_tries = !empty($number_tries) && $time_stamp < (time() - 20) ? 2 : 0;
$time_stamp = time();
}
There is another bug. If an attacker sends a password reset request within 10-20 second interval the $number_tries will be set to 0 instead of 2. Obviously this was not SMF devs intention.
The successful attack requires about 6-10 k requests and can be done in a night. The older versions of SMF do not have this limitation, so you will be able to set new password in few hours.
Влогах багов которые надо пофиксить висит как не исправленный с пометкой важности 7.5 из 10
Голосование