На http://www.runcms.org выложен патч, закрывающий уязвимость в классе fileupload. Уязвимость заключается в возможности загрузки произвольных файлов при добавлении аватаров. Скачать можно в этом топике.
Однако хотим предупредить пользователей, что данный патч не полностью устраняет данную уязвимость. Более подробно смотрите в этом сообщении.