Рекомендация Debian по безопасности

DLA-333-1 cakephp -- обновление безопасности LTS

Дата сообщения:
23.10.2015
Затронутые пакеты:
cakephp
Уязвим:
Да
Ссылки на базы данных по безопасности:
На данный момент ссылки на внешние базы данных по безопасности отсутствуют.
Более подробная информация:

CakePHP, инфраструктура веб-приложений для PHP с открытым исходным кодом, уязвима к атакам по принципу SSRF (подделка запросов на стороне сервера). Удалённый злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании в том случае, если целевое приложение принимает в качестве входных данных XML. Проблема вызвана небезопасной реализацией класса Xml в Cake.

В Debian 6 Squeeze эта проблема была исправлена в cakephp версии 1.3.2-1.1+deb6u11.