Тестируя движок Cogear в боевых условиях на своем астрологическом сайте я понял, что у меня периодически регистрируются с одного IP юзеры с очень похожими никами, что очень напоминало автоматическую регистрацию без участия человека.

Начал разбираться и обнаружил, что при отключенном JavaScript в браузере можно и вовсе поле ввода проверочного кода с капчи игнорировать, то есть не писать туда ничего и регистрация пройдет успешна.

Оказалась эта ошибка существует с самых первых ревизий движка, так что исправить эту ошибку надо каждому.

В файле: gears/kcaptcha/_hooks.php найдите строку:

$config['validation'] = 'kcaptcha';
и измените ее на:

$config['validation'] = 'required|kcaptcha';