sfAction の is_secure() と getCredential() に問題があり、URL 中のアクション指定時に大文字を混ぜると、セキュリティーチェックがスルーされてしまいます。

(2006/3/20) この問題へのフィックスを含む symfony 1.0.1 がリリースされています。

ぷぎがぽぎ - is_secureのバグ
http://d.hatena.ne.jp/brtRiver/20070317/1174150489

以前にもあったバグと記憶していますが、再発してしまったみたいですね。
詳細は上記のブログエントリまで。

apache アクセスログからの不正操作チェックは、こんな感じでどうでしょうか。

egrep -v '(GET|POST) \/[a-zA-Z0-9_-]+\/update' access_log |
 egrep '(GET|POST) \/[a-zA-Z0-9_-]+\/[Uu][Pp][Dd][Aa][Tt][Ee]'

※ edit, list, show も必要に応じて