GHSA-699q-wcff-g9mj

Опубликовано: 15 сент. 2020

Источник: github

Github: Прошло ревью

CVSS3: 8.9

Описание

Unsafe deserialization in Yii 2

Impact

Remote code execution in case application calls unserialize() on user input containing specially crafted string.

Patches

2.0.38

Workarounds

Add the following to BatchQueryResult.php:

public function __sleep() { throw new \BadMethodCallException('Cannot serialize '.__CLASS__); } public function __wakeup() { throw new \BadMethodCallException('Cannot unserialize '.__CLASS__); }

For more information

If you have any questions or comments about this advisory, contact us through security form.

Ссылки

Пакеты

Наименование

yiisoft/yii2

composer

Затронутые версииВерсия исправления

< 2.0.38

2.0.38

EPSS

Процентиль: 100%

0.93433

Критический

8.9 High

CVSS3

CVE ID

CVE-2020-15148

Дефекты

CWE-502

Связанные уязвимости

CVE-2020-15148

CVSS3: 8.9

nvd

больше 5 лет назад

Yii 2 (yiisoft/yii2) before version 2.0.38 is vulnerable to remote code execution if the application calls `unserialize()` on arbitrary user input. This is fixed in version 2.0.38. A possible workaround without upgrading is available in the linked advisory.

CVE-2020-15148

CVSS3: 8.9

debian

больше 5 лет назад

Yii 2 (yiisoft/yii2) before version 2.0.38 is vulnerable to remote cod ...

BDU:2020-05717

CVSS3: 10

fstec

больше 5 лет назад

Уязвимость PHP фреймворка Yii, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 100%

0.93433

Критический

8.9 High

CVSS3

CVE ID

CVE-2020-15148

Дефекты

CWE-502