php · cakephp/cakephpAtenção

cakephp/cakephp: Path traversal em View::_getElementFileName()

View::_getElementFileName() não verifica se o caminho do elemento resolvido está dentro dos caminhos de template da aplicação/plugin, permitindo inclusão de out

27 Jun 2026Leitura 1 minSeveridade: agende este mês

O que mudou

View::_getElementFileName() não verifica se o caminho do elemento resolvido está dentro dos caminhos de template da aplicação/plugin, permitindo inclusão de outros arquivos PHP quando nomes de elementos são criados com dados fornecidos pelo usuário.

Quem isso afeta

Aplicações que usam CakePHP versões anteriores a 5.3.6, 5.2.13, 5.1.7, 4.6.4 e 4.5.11 que utilizam dados fornecidos pelo usuário em nomes de elementos.

O que fazer hoje

Atualize para as versões corrigidas: 5.3.6, 5.2.13, 5.1.7, 4.6.4 ou 4.5.11, ou garanta que nomes de elementos não sejam fornecidos pelo usuário.

A esteira

Coletado→ Auditado→ Redigido→ Publicado

Fonte

GitHub Advisory · cakephp/cakephp

cakephp/cakephp: Path traversal em View::_getElementFileName()

O que mudou

Quem isso afeta

O que fazer hoje

Mais sobre cakephp/cakephp

Filament: pacotes first-party recebem beta de melhorias de performance

web-auth/webauthn-symfony-bundle: vazamento de dados sensíveis em logs (INFO)