[CakePHP]Securityコンポーネントに脆弱性があるらしい。(バージョン 1.2.8 または 1.3.5 以前)
POSTされた入力が、デストラクタ実行時にシリアル化されてキャッシュファイルへ格納されるので、Securityコンポーネントでシリアル化解除の時にPHPコードが実行されてしまうらしいです。早速修正が上がっているので最新版に更新しておきましょう。
⇒バージョン 1.2.9 及び 1.3.6 が公開されました。
⇒Securityコンポーネントの変更差分のみを既存のシステム上書きする対応もあるようです。
■CakePHPのSecurityComponentに深刻なセキュリティホールが見つかりました
■CakePHP の PHP コード実行の脆弱性を使って CakePHP を焦がす
■Secunia Advisory SA42211
■CakePHP <= 1.3.5 / 1.2.8 unserialize() Vulnerability felix[txt]
■CakePHP
⇒バージョン 1.2.9 及び 1.3.6 が公開されました。
⇒Securityコンポーネントの変更差分のみを既存のシステム上書きする対応もあるようです。
■CakePHPのSecurityComponentに深刻なセキュリティホールが見つかりました
■CakePHP の PHP コード実行の脆弱性を使って CakePHP を焦がす
■Secunia Advisory SA42211
■CakePHP <= 1.3.5 / 1.2.8 unserialize() Vulnerability felix[txt]
■CakePHP