Так что в данной записи об уязвимости на сайте от данной студии я упомянул в частности об одной дыре (из всех дыр данного движка).

а пароли видимо везде одни и те же

Ты знаешь, посмотрев пароли на большом количестве сайтов данной студии , могу сказать, что пароли в целом разные. Но иногда попадаются сайты с одним и тем же админским паролем (или с практически таким же паролем). Что является типичной ошибкой - использовать один пароль на многих сайтах.

Мы уже обсуждали ранее сайты данной студии. А так как все её сайты на одном и том же дырявом движке, то дыр там хватает (как и самих дырявых сайтов).

Я так понимаю речь идет об слепой уязвимости в куки?

Нет, это не blind SQLi, это обычный SQLi (а SQLi в движке хватает). И в целом таблицы и поля в БД легко подбираются - в частности имя и поля таблицы с паролями .