安全修复：CakePHP 2.3.3 可用

我们发现了一个严重的安全问题，它影响了所有运行 CakePHP 版本 2.3.0 及更高版本的应用程序，这些应用程序使用带有 AuthComponent 的表单进行用户身份验证，但没有使用 Security 组件的表单篡改防止功能。

CakePHP 核心团队比计划提前为框架的 2.3 分支发布了维护版本。我们发现了一个严重的安全问题，它影响了所有运行 CakePHP 版本 2.3.0 及更高版本的应用程序，这些应用程序使用带有 AuthComponent 的表单进行用户身份验证，但没有使用 Security 组件的表单篡改防止功能。

如果您有登录表单，并且使用 AuthComponent 但没有使用 SecurityComponent 字段锁定功能，我们强烈建议您尽快升级到此版本。在接下来的几天里，我们会提供有关漏洞及其利用方法的详细说明，不过我们会留出一些时间供我们的用户升级。

感谢 Magnus Andersson 报告并提供补丁。

CakePHP 2.3.3[1] 是针对 2.3 发布分支的错误修复版本。自 2.3.2 发布以来，已修复了 31 个提交和 8 个问题。以下是您可以期待的更改摘要：

• 修复了使用 composer 安装 CakePHP 时 Vendor/bin/cake 不起作用的问题。
• 允许行为的 beforeSave 回调更改用于实际保存的数据源。
• 修复了 FormHelper 中的时间字段选择错误子午线的问题。
• 解决了当 $uses = true 时模型未添加的问题。
• 修复了特定于 mysql 的情况下的条件解析。
• 在 HttpSocket 中添加了对键 => 值 cookie 的支持。
• 防止类型为“number”的输入元素的“maxlength”属性。
• 修复了使用 CakeTime::fromString() 时时间戳值错误的问题。