Описание
Yii 2 (yiisoft/yii2) before version 2.0.38 is vulnerable to remote code execution if the application calls unserialize() on arbitrary user input. This is fixed in version 2.0.38. A possible workaround without upgrading is available in the linked advisory.
Ссылки
- PatchThird Party Advisory
- MitigationThird Party Advisory
- PatchThird Party Advisory
- MitigationThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 2.0.38 (исключая)
cpe:2.3:a:yiiframework:yii:*:*:*:*:*:*:*:*
EPSS
Процентиль: 100%
0.93433
Критический
8.9 High
CVSS3
10 Critical
CVSS3
7.5 High
CVSS2
Дефекты
CWE-502
Связанные уязвимости
CVSS3: 8.9
debian
больше 5 лет назад
Yii 2 (yiisoft/yii2) before version 2.0.38 is vulnerable to remote cod ...
CVSS3: 10
fstec
больше 5 лет назад
Уязвимость PHP фреймворка Yii, связанная с восстановлением в памяти недостоверной структуры данных, позволяющая нарушителю выполнить произвольный код
EPSS
Процентиль: 100%
0.93433
Критический
8.9 High
CVSS3
10 Critical
CVSS3
7.5 High
CVSS2
Дефекты
CWE-502