я прав

14 января на хабре мне в приват написали об уязвимости в компоненте Auth фреймворка CakePHP и в качестве доказательства была приведена ссылка на скриншот дефейса thechaw.com, да и на самом сайте дефейс не был убран. В чем суть уязвимости, мне сообщить отказались, сославшись на то, что подробные инструкции переданы разработчикам. И действительно за предыдущий день есть changeset со скупым описанием “updating auth component and test with additional checks for missing data”. И уже 16 числа выходит релиз 1.2.1, на который настоятельно рекомендуют обновится.
И в самом деле уязвимость довольно серьёзная. Приложив минимум усилий, можно получить доступ в качестве любого пользователя системы…
Читать далее…