Описание
Уязвимость метода Yii2::createObject() PHP фреймворка Yii связана с неправильной защитой альтернативного пути. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор
Yii
Наименование ПО
Yii
Версия ПО
до 2.0.52 (Yii)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций производителя:
https://github.com/yiisoft/yii2/releases
https://www.yiiframework.com/news/709/please-upgrade-to-yii-2-0-52
https://github.com/yiisoft/yii2/commit/40fe496eda529fd1d933b56a1022ec32d3cd0b12
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 99%
0.67064
Средний
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9
nvd
10 месяцев назад
Yii 2 before 2.0.52 mishandles the attaching of behavior that is defined by an __class array key, a CVE-2024-4990 regression, as exploited in the wild in February through April 2025.
CVSS3: 9
debian
10 месяцев назад
Yii 2 before 2.0.52 mishandles the attaching of behavior that is defin ...
CVSS3: 9
github
10 месяцев назад
yiisoft/yii2 Mishandles the Attaching of Behavior Defined by a `__class` Array Key
EPSS
Процентиль: 99%
0.67064
Средний
9.8 Critical
CVSS3
10 Critical
CVSS2