Дыры в 1.9 или я неудачнег

Почитал, занятно. С закрытыми профилями действия с id в урл прокатывает, некритичные действия. Карму, сообщение отправить, посмотреть посты… Если это для вас критично, попробуйте отписать в багтрекер. Возможно разработчики исправят.

кто-то мнимый может читать ЛС других пользователей, менять им статусы, просматривать закрытые профили и тд,

Это уже перебор. На такие действия есть проверка и не прокатит. Можете проверить.
По кукисам, это не к Инстанту. Могут стащить куки с любого сайта. Это скорее вопрос локальной безопасности. Прошли те времена, когда лазили с отключенными куками. Простого пользователя проще сбрутить, чем заморачиваться с куками. Юзер ведь он такой, может запросто установить пароль 1234. Только вот что это даст?

Зачем мне что-то проверять, если я видел живой пример — как один умник залез на чужой профиль и выложил в блог переписку ЛС, вы считаете это не критичным? ЛС это как бы личные сообщения и читать их третьим лицам это уже явный перебор…

Root13, вы наверное не слышите, что вам пытаются донести.
ВАС ПОЛОМАЛИ. То, что вы выложили в первом посте не является багом и т.п.
Меняйте пароли, ищите шелы, выставляйте права доступа, не переходите по ссылка сомнительным, закрывайте админку.

если самому тяжко разобраться, в личку киньте доступы к фтп — посмотрю. у меня уже целая коллекция шеллов с инстанта :)