AltaUserPoints 1.1.14 - дырка в безопасности - AlphaUserPoints

Всем привет!
Похоже компонент умер, разработчики остановились на версии 1.1.14 для "трешки", выпущенной аж 16 мая 2020 года и развиваться не планируют....
Жаль, очень жаль.
Но собственно по сабжу. Клиент добросовестный (да, бывают еще такие) обратил внимание на очевидный косяк.
Суть такова. Выпускаются подарочные купоны со сроком активации и сроком действия баллов после активации.
Условный купон с кодом BLACKFRIDAY уже сгорел, т.к. прошла дата активации, но...! Если добавить к коду купона буквально пару простейших операторов, то купон прекрасно активируется, на лицевой счет зачисляются баллы (1 балл = 1 рубль, ими можно оплачивать услуги). А дальше еще интересней: к введенной на предыдущей итерации конструкции добавляем пробел и опять активируем купон - и так до бесконечности. Деньги с сайта выводить нельзя, но вот услуги бесплатно с такой фишкой получать можно 
Создал https://www.nordmograph.com/extensions/index.php?option=com_kunena&view=topic&catid=152&id=17921&Itemid=645 запрос на форуме разраба - тишина.
Кто-нибудь сталкивался с подобным?
Код для зловредной инжекции могу сообщить в личку, пишите.

Значит надо тщательнее чистить входящие данные. Раз компонент умер, то, либо менять, либо допиливать.

либо менять

Дык вроде не на что особо менять (или я что-то упустил?)

либо допиливать

Главная задача - переход на "четверку" и совместимость с 8 пыхом. Это уж не допил ихмо, а полный перепил 

надо тщательнее чистить входящие данные

пока единственное, что остается

Главная задача - переход на "четверку" и совместимость с 8 пыхом. Это уж не допил ихмо, а полный перепил 

Обычно не так и много там изменений приходится делать. Либо некоторое кол-во однотипных правок в синтаксисе.
Фильтрация данных тоже несложная задача. К тому же у вас есть чем протестировать.
Если планируете продолжать пользоваться расширением и дальше, то стоит довести его до приемлемого состояния.

В модуле не было экранирования в запросах к БД. Поэтому такая фигня и происходила.