誤った脆弱性報告
Agaviに関する誤った脆弱性報告が出回っていたようです。ref:False Agavi Vulnerability Reports
簡単に言うとフランスのある代理店がAgavi-0.11を用いて制作した複数のサイトでディレクトリトラバーサル脆弱性が見つかり、これはフレームワーク外の実装に問題があったのだけれどAgaviの問題であると報告されてしまっていたみたいです。
Agaviが用意しているバリデーションを適切に利用していないために起こった問題であるため、Agavi開発チームとしてはデフォルトで製品環境ではstrictモード*1になるように変更することで再発を防ぐ方針を固めました。1.0系の次のリリースからこの変更は反映されます。
*1:バリデータを通過していないクエリ変数が受け取れない設定