CVE-2020-35239

**Nome do software vulnerável e versões afetadas:

Versões do CakePHP 4.0.x a 4.1.3

Descrição:

Existe uma vulnerabilidade no componente CsrfProtectionMiddleware, permitindo que parâmetros de substituição de método contornem as verificações CSRF ao alterar o método de solicitação HTTP para uma string arbitrária que não consta na lista de métodos de solicitação verificados pelo CakePHP. O middleware de rota não verifica se esse método substituído, que pode ser uma string arbitrária, é de fato um método HTTP.

Recomendações:

Para as versões 4.0.x a 4.1.3 do CakePHP, considere desativar o componente CsrfProtectionMiddleware ou restringir seu uso até que um patch esteja disponível. Como solução temporária, restrinja o acesso ao middleware de rota para minimizar o risco de exploração. Evite usar parâmetros de substituição de método em solicitações HTTP para as versões afetadas do CakePHP até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.