■危険度・緊急度

3／5：過度に重大

■インパクト

ローカルとリモートからのシステム情報へのアクセス

■概要

PHPスクリプトであるartmedic hpmakerには「index.php」が「p」パラメーターの値のチェックを適切に行わないために外部とローカルから任意のコードを含んだ投稿が可能となっている。
例：http://[victim_host]/index.php?p=../../../../../../../../etc/passwd

■対処

ソースコードの編集

■情報元・関連情報

SecuriTeam.com
http://bichosoft.webcindario.com/advisory-01.txt