Ничто в CakePHP не является напрямую уязвимым, но и не защищает от него.Для фактического перенаправления Controller->redirect() звонит Controller->header(), что в свою очередь вызывает header().Таким образом, именно используемая версия PHP будет определять, уязвимы ли вы для внедрения HTTP-заголовка или нет.Эта уязвимость была исправлена в header() в версиях 4.4.2 и 5.1.2 PHP .
Однако вы никогда не должны помещать ненадежный или неизвестный контент в заголовок местоположения, поэтому кодв защите с проверкой белого списка, и все будет в порядке.