Insgesamt vier Sicherheitslücken wurden in Manx 1.x gemeldet. Diese lassen sich für Cross Site Scripting und im schlimmsten Fall für unerlaubte Systemzugriffe ausnutzen. Eingaben via URL in de Datei admin/login.php überprüft die Software nicht ausreichend, bevor sie diese an den Anwender zurückgibt. Somit lässt sich eventuell beliebiger HTML- und Script-Code in der Browser-Sitzung eines Anwenders ausführen. Ein ähnliches Problem gibt es für die Parameter limit und search_folder in den Dateien admin/tiny_mce/plugins/ajaxfilemanager/ajax_get_file_listing.php beziehungsweise admin/tiny_mce/plugins/ajaxfilemanager_OLD/ajax_get_file_listing.php.
Eingaben in die Parameter editorChoice in den Dateien admin/admin_blocks.php and admin/admin_pages.php werden ebenfalls nicht ausreichend geprüft. Dadurch könnten sich beliebige HTTP-Header an den Anwender schicken lassen.
Die gefährlichste Lücke liegt aber bei Eingaben in die POST-Parameter in die Datei admin/tiny_mce/plugins/ajaxfilemanager/ajax_create_folder.php. bei einem erfolgreichen Angriff könnte sich beliebiger PHP-Code ausführen lassen.
Die Schwachstellen sind als hoch kritisch eingestuft und für Version 1.0.1 bestätigt. Andere Ausgaben könnten ebenfalls betroffen sein: zeroscience.mk, zeroscience.mk (jdo)