CakePHP 2.3.3 →以前のバージョンはとてつもなく危険。すぐアップデートすべき。
Posted in CakePHP, PHP関連 on 4月 26th, 2013 by Site AdministratorCakePHP2.3.3が先日リリースされましたが、これ以前のバージョンを使用している方は即適用すべきです。
適用できないなら即対応策を考えるべきです。
具体的なコードはあえて書きませんが、非常に簡単な手順で認証が突破されてしまいます。
「From認証を使用し、かつSecurityComponentを利用していない環境で発生する」とアナウンスされてますが、
SecurityComponentを使っていても発生しました。
2.2.x以前でも発生するかはまだ確かめてません。
対応策はこんなところでしょうか
1.カスタム認証ロジックを組み込む または
2.2.3.3にアップデート
急ぎましょう。本当に危険!
<追記 2013/04/26 15:21>
Version2.2.7で、同様の方法では認証が突破されないことを確認しました。
2.3系だけの問題のようです。