CVE-2024-58136

Опубликовано: 10 апр. 2025

Источник: nvd

CVSS3: 9

CVSS3: 9.8

EPSS Средний

Описание

Yii 2 before 2.0.52 mishandles the attaching of behavior that is defined by an __class array key, a CVE-2024-4990 regression, as exploited in the wild in February through April 2025.

Ссылки

https://github.com/yiisoft/yii2/commit/40fe496eda529fd1d933b56a1022ec32d3cd0b12
Patch
https://github.com/yiisoft/yii2/compare/2.0.51...2.0.52
Issue Tracking
https://github.com/yiisoft/yii2/pull/20232
Patch
https://github.com/yiisoft/yii2/pull/20232#issuecomment-2252459709
Issue Tracking
https://www.yiiframework.com/news/709/please-upgrade-to-yii-2-0-52
Vendor Advisory
https://sensepost.com/blog/2025/investigating-an-in-the-wild-campaign-using-rce-in-craftcms/
Exploit
Third Party Advisory
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-58136
US Government Resource

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:yiiframework:yii:*:*:*:*:*:*:*:*

Версия до 2.0.52 (исключая)

EPSS

Процентиль: 99%

0.67064

Средний

9 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-424

NVD-CWE-Other

Связанные уязвимости

CVE-2024-58136

CVSS3: 9

debian

10 месяцев назад

Yii 2 before 2.0.52 mishandles the attaching of behavior that is defin ...

GHSA-ggwg-cmwp-46r5

CVSS3: 9

github

10 месяцев назад

yiisoft/yii2 Mishandles the Attaching of Behavior Defined by a `__class` Array Key

BDU:2025-06103

CVSS3: 9.8

fstec

больше 1 года назад

Уязвимость метода Yii2::createObject() PHP фреймворка Yii, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 99%

0.67064

Средний

9 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-424

NVD-CWE-Other