но никто не спешит грабить пользователей киберплата... все заняты вирусом.

Мда...   Теперь они не будут утверждать, что это все выдумки и поклепы, как было полгода назад.  Не вняли они тогда предупреждениям.

Уважаемые  коллеги,
Изучив ситуацию, могу сообщить следующее:
1.Информация на SecurityLab непрофессиональна и тенденциозна: «Удаленный атакующий может получить полный (да ну??) контроль над уязвимой системой (какой?)».   
2.На самом деле речь идет ТОЛЬКО о доступе к веб-серверам Интернет-магазинов (а не к серверам CyberPlat, обеспечивающим функциональность системы). ТОЛЬКО ТЕХ магазинов, которые работают под Windows  и ТОЛЬКО если администратор не выполнил наши (вообще-то универсальные) рекомендации по защите сервера.
3.Никаких возможностей для воровства описанные возможности не представляют.
4.В любом случае благодарны за внимание к поиску путей совершенствования нашей платежной системы – мы ее еще более улучшили  разослав соответствующий патч клиентам.
5.Никакого нецелевого использования описанных возможностей ни мы, ни наши партнеры не обнаружили.

С уважением , Сергей Чекин
ОАО "Cyberplat.Com"
Директор департамента информационных  технологий

1.Информация на SecurityLab непрофессиональна и тенденциозна: «Удаленный атакующий может получить полный (да ну??) контроль над уязвимой системой (какой?)».    

- над системой, на которой работает Web сервер. Полный контроль == привилегии уязвимого ISAPI фильтра = Привилегии системы.

2.На самом деле речь идет ТОЛЬКО о доступе к веб-серверам Интернет-магазинов (а не к серверам CyberPlat, обеспечивающим функциональность системы). ТОЛЬКО ТЕХ магазинов, которые работают под Windows и ТОЛЬКО если администратор не выполнил наши (вообще-то универсальные) рекомендации по защите сервера.

А разве я утверждал обратное? В принципе заголовок не совсем корректен, поменяю. Хотелось бы услышать какие настройки Web сервера позволяют защитится от этой уязвимости.

3. Никаких возможностей для воровства описанные возможности не представляют.

На прямую может и нет. Типичный сценарий - взлом Web сервера - взлом базы данных - доступ к критической информации.

4.В любом случае благодарны за внимание к поиску путей совершенствования нашей платежной системы – мы ее еще более улучшили разослав соответствующий патч клиентам.

Это хорошо.

5.Никакого нецелевого использования описанных возможностей ни мы, ни наши партнеры не обнаружили.

По моим данным, данной дырой успешно пользовались несколько месяцев для взлома серверов. Очень странно что администраторы взломанных серверов вам не сообщали о проблеме.