CakePHP3系について脆弱性の報告をいたしました。修正版が日本時間の 2016/02/22 にリリースされています。
脆弱性の分類としては、XSS(クロスサイトスクリプティング)に該当するのではないかと思います。
3系で作成したサイトをインターネット上に公開している場合は必ず更新を行ってください。
更新を怠った場合、皆さまのサイトがフィッシング詐欺に使われてしまう可能性があります。
また、Google 等の検索エンジンからウィルスに感染しているサイトと見做され、皆さまのサイトが索引から削除されてしまうかもしれません。
これまでに報告した脆弱性とは異なり、ほぼ全利用者がこの脆弱性の影響を受けると思いますので、念のためご報告させていただきました。
ご報告は以上になります。