FuelPHP 1.6.1 以下へのセキュリティ勧告(脆弱性)
セキュリティ勧告ページ
FuelPHP 本家サイトにセキュリティ勧告(Security Advisories)のページができました。
公開された 2件の脆弱性
そして、1.6.1 以下に影響する脆弱性 2件の情報が公開されました。いずれも、リスクは低とされています。
いずれの報告も、三井物産セキュアディレクションの寺田さんによるものです。
DB quote_identifier() の問題は、1.7/develop で修正済みであり、1.6.1 以前には以下のパッチを当てることで修正できます。
EM Space の問題は、エスケープせずに出力した場合、いくつかのブラウザで問題になるようです。これは、FuelPHP が使用している htmlLawed というライブラリの問題です。