Importante actualización de seguridad en CakePHP 1.2.12, 1.3.16, 2.2.8 y 2.3.4

Posted by victor on April 29th, 2013
CakePHP-logoImportante actualización de seguridad relacionada con la gestión y ordenación de los resultados usados en el componente PaginatorComponent, encargado de paginar los resultados del modelo de datos. El problema se produce cuando se realiza una paginación sin indicar los campos por los que está permitido ordenar los resultados (opción whitelist). La vulnerabilidad permite la ejecución de código SQL. Por el momento, el equipo de CakePHP no ha hecho pública la forma de explotar esta vulnerabilidad. Se pretende dar un tiempo razonable para que los usuarios realicen actualizaciones. Las versiones afectadas son 1.2.12, 1.3.16, 2.2.8 y 2.3.4. Recuerda que el parámetro whitelist es muy útil para evitar realizar ordenaciones de los resultados por campos que no se encuentren indexados en base de datos. Además, cada versión lleva algunas mejoras, tal y como se detalla en The Bakery. GitHub: Descargar actualización. CakePHP: ChageLogs.

Comments

comments powered by Disqus