hace poco se publico una vulnerabilidad de inyeccion sql. era un defecto en modules.php que te permitia obtener el md5 del password. Era realmente sencillo obtenerlo pero lo dificil era crackear el password, tenias que hacerlo a la fuerza con un programa para decodificar md5 y eso toma su tiempo dependiendo de que tan complejo sea el password.
