Moin!

und wenn ich da als Funktionsname „move_uploaded_file“ lese, dann sollte man die Ausführbeschränkung nicht auf das Upload-Verzeichnis beschränken.

Eben. Der übertragene Dateiname wird eben so wenig überprüft wie die Frage, ob der Benutzer authentifiziert ist. Hier sollte eigentlich nur der "Joomla-Webmaster" das dürfen, aber offenbar ist das Skript eine Nutte.

Jörg Reinholz