この新しいバージョンでは2.x系の重要なセキュリティに関する修正が含まれています。できるだけ早くアップグレードすることをお勧めします。
CakePHPコアチームは CakePHP 2.0.4 が入手可能になったことをお知らせいたします。このリリースではAuthコンポーネントのセキュリティに関する重要な問題が修正されています。これ以前のバージョンでは、Authコンポーネントは、コントローラで宣言されたアクション名とURLとで大文字小文字が異なるものを使用した場合、未ログインユーザでも保護されたアクションを実行させてしまいます。
2.0.xのどのバージョンを使用していても、できる限り早くこの新しいバージョンにアップグレードすることを強くお勧めします。
2.0.3以降、合計60のコミットと、20の問題が解決されています。完全なリストはchangelogページで閲覧できます。以下は2.0.4の変更点の概要です:
- アクション名とURLとで大文字小文字が異なるものを使用した場合、Authコンポーネントが未ログインユーザに保護されたアクションにアクセスさせてしまう問題を修正
- リクエストURL中にドットが使用されている場合の問題を修正
- APIドキュメントの改善
- XML中の特殊文字をエスケープ
- 他のアプリケーションクラスとの一貫性を保つため、Console/Command以下のAppShellを移動。さらに、すべてのコアシェル・タスクをShellの代わりにAppShellを拡張(継承)するように調整
- PDOで、ドライバから返却される結果を取得する際にメモリリークが発生していた点を回避
- 相対URLでCSSやJavascriptファイルを読み込む際のプロトコルの問題を修正
- リクエストデータから _Token を削除
- RequestHandlerでの曖昧なContent-Typeを修正
2.1系の開発は快調に進んでおり、もうすぐ早期α版をリリースできる予定です。パッチやドキュメントの変更や新しいチケットによって成長し続けるCakePHPコミュニティに感謝しています。あなたがいなければ、CakePHPは存在しません。