2020 年 12 月 07 日

CakePHP 4.0.10 发布

CakePHP 核心团队很高兴地宣布 CakePHP 4.0.10 立即可用。此版本包含安全修复,建议所有仍在使用 4.0.x 的应用程序进行升级。

安全修复解决了 CsrfProtectionMiddleware 中的漏洞,该漏洞允许方法覆盖参数绕过 CSRF 检查,以获取没有其他 POST 数据的请求。修复措施验证 HTTP 方法覆盖是否为有效的 HTTP 方法名称。我们感谢 Xhelal Likaj 通过我们的安全流程向我们报告了 此问题

受此问题影响的版本为 >4.0.0,<=4.0.9 和 >4.1.0,<=4.1.3。4.1.3 之后的版本不受影响,因为它们已经验证了 HTTP 方法名称。

错误修复

您可以在 4.0.10 中期待以下更改。有关每个提交的详细信息,请参阅 变更日志

  • 修复了对 _method 参数中定义的 HTTP 方法的验证。

4.0.9 的贡献者

感谢所有帮助完成此版本的贡献者

  • Mark Story
  • Xhelal Likaj

与往常一样,我们感谢所有打开问题、创建拉取请求或更新文档的贡献者。

作者:markstory
分类:发布新闻安全
标签:发布新闻安全