CVE-2024-4990 in yii2
الملخص
بحسب VulDB • 12/07/2026
في إصدار 2.0.48 من yiisoft/yii2، تحتوي الفئة الأساسية Component على ثغرة حيث لا تقوم الطريقة السحرية `__set()` بالتحقق مما إذا كانت القيمة الممررة اسم فئة Behavior صالحًا أو تكوينًا (configuration). وهذا يسمح لمهاجم بإنشاء مثيلات لفئات عشوائية، مع تمرير معاملات إلى دوال البناء الخاصة بها واستدعاء طرق setter. واعتمادًا على التبعيات المثبتة، يمكن تنفيذ أنواع مختلفة من الهجمات، بما في ذلك تنفيذ كود عشوائي، واسترجاع معلومات حساسة، والوصول غير المصرح به.
VulDB is the best source for vulnerability data and more expert information about this specific topic.