CakePHP 1.3系および2.4系に対して、セキュリティ修正を含むリリースがでています。
SecurityComponentの改ざんチェック機構に不備があり、意図しない処理が行われる可能性があります。
対象に対しての処理権限チェックを適切に行ってない場合、権限を持たないユーザーがデータの書き換えを行えるなど、大きな問題になる可能性がありますので、アップデートを強くお勧めします。
リリースノート:
- CakePHP 1.3.18 and 2.4.8 released :: The Bakery: Everything CakePHP
- CakePHP 2.4.9 released :: The Bakery: Everything CakePHP
日本語訳:
- CakePHP 1.3.18 と 2.4.8 がリリースされました – The Bakery, なんでもCakePHP!
- CakePHP 2.4.9 がリリースされました – The Bakery, なんでもCakePHP!
当該部分の修正は以下のコミットです。
2.4系
- Use the form action URL in generated form hashes. · f23d811 · cakephp/cakephp
- Add additional test for f23d811ff59c50ef278e98bb75f4ec1e7e54a5b3 · a28158d · cakephp/cakephp
- Fix FormHelper::postLink() not working when SecurityComponent is enabled… · e1057e3 · cakephp/cakephp
1.3系
修正は日本の方からの報告によるものみたいです。:)