phpbb2 sql injection

scusate ragazzi, mi sono documentato sull'argomento.
ho visto che alcune versioni di phpbb2 (non quelle recenti) hanno un bug attraverso cui, tramite il passaggio di una stringa via browser si può risalire alla lettura di un campo del db (per esempio il campo password)
scusate, ma se le pass sono criptate con md5 (che è irreversibile) che se ne fa uno della pass criptata?

immagino niente.. per cui mi chiedo, è veramente necessario aggiornare il forum ?

e poi, tramite questa sql injection è possibile solo leggere i dati del db, o anche modificarli ?



non voglio aggiornare il forum se nn strettamente necessario ...

modificare pure a quanto ne so io e cmq è meglio sempre aggiornare i software soprattutto se cms