OpenPNEの脆弱性が見つかった。
該当するバージョンは1.8～最新版までなので、ほとんどが対象だ。

さっそく該当する箇所のソースを見て見た。　なるほど。

ユーザーエージェントを携帯にしてSNSのトップページを見ると、携帯用のログイン画面が表示される。
何も入力しないで「ログイン」ボタンを押すとエラーになる。
で、URLの引数にID=○（○はc_member_idを指定）を追加。　で、URLをo_login2.phpに変更する。　そのページを表示すると……同じログイン画面。　しかしメールアドレス入力欄が消えている。
ソースを見ると、hiddenタグでメールアドレスが記述されている。　c_member_idのところを、好きなメンバーIDにすると、その人のメールアドレスがわかってしまう。
ちなみにメールアドレスが流出するだけで、パスワードはわからないのでログインできない。

こんな脆弱性があったとは。　SNS運営している人は早急に対策をしないとね。