安全问题

有两个问题会影响 CakePHP 应用程序的安全

• 非传统的 URL 路径将允许直接访问前缀操作，而无需设置正确的请求参数。如果您的授权依赖于 prefix 路由键的存在，您应该尽快升级。
• Validation::compare() 和 Validation::range() 将允许专门设计的恶意数据通过某些标准。

我们感谢“Kurita Takashi”通过我们的 安全问题 流程向我们报告了这两个问题。我们建议所有 CakePHP 用户尽快升级到这些版本中的一个。CakePHP 3.x不受前缀路由问题的影响。

2.7.2 中修复的其他问题

• 使用 self 被替换为 static，以提高对核心类的子类化能力。
• HttpSocket 现在允许禁用 SNI_enabled。
• HttpSocket 将继续读取数据，即使它遇到一个独立的“0”。
• ObjectCollection 类现在始终在 attached()、unload() 和 disable() 中处理插件前缀。
• Configure 现在在加载多字节垫片后启动。这解决了没有 mbstring 的环境中的依赖关系问题。
• 翻译上下文现在从 mo 文件中正确解析出来。
• EmailComponent 在发送带有空主题的消息时不再致命错误。

为了更深入地了解发生了哪些变化，请查看 发布说明。