Google Code Searchを使って、早速問題のあるソースコードを探してる人がいた。

• SecuriTeam Blogs » Code auditing with Google

この方が取り上げていたのは下記の４つ。

• ユーザーがリクエストで指定したファイルを開けてしまう - Google Code Search

Requestナントカで任意のモノをしていしたら開けてしまうというコードですね。

• ユーザーがリクエストで指定した文字列を書き出してしまう - Google Code Search

Requestナントカで任意の文字列を標準出力できてしまうというコードですね。

• Server\.CreateObject\s*\(\"CDONTS\..* - Google Code Search

「CDONTSで送ったメールは読めません - PC製品評価室」この辺りの問題でしょうか。

• 警告（warning）の抑制 - Google Code Search

コードを修正するのではなく、警告が出ないようにしてるもの。どこかに問題がある可能性がありますね。

もちろん、ここで検索されたソースコードすべてが脆弱だと言うわけではありません。一見脆弱そうな記述を含んでいるということなので、当該箇所の前後も見ましょう。