ок....
(а мог бы и поделиться с другими багами)
итак по моему мнению (...прока что на первом этапе)
баг №1 позволяющий заливать удаленный шелл на ваш сайт с шоп-скриптом это ошибка в разрешении загрузки на сайт любого файла, а не определенного типа (т.е. разрешение загрузки таких форматов как пхп и хтмл в папку products_file) которые мона выполнить удаленно....
если вы не собираетесь использовать свой магазин как магазин электронных товаров, просто удалите эту функцию
второй баг - это ошибка в скул запросе... я пока что не разобрался, но понял что эта ошибка предоставляет возможность увидеть хеш вашего пароля, который естественно может быть расшифрован
единственный фикс на этот счет - мона скрывать хеш пасса
(спасибо fominsa за хороший шелл... который ты кстати оставил на моем сайте в этой папочке)