CVE-2024-4990 in yii2المعلومات

الملخص

بحسب VulDB • 12/07/2026

في إصدار 2.0.48 من yiisoft/yii2، تحتوي الفئة الأساسية Component على ثغرة حيث لا تقوم الطريقة السحرية `__set()` بالتحقق مما إذا كانت القيمة الممررة اسم فئة Behavior صالحًا أو تكوينًا (configuration). وهذا يسمح لمهاجم بإنشاء مثيلات لفئات عشوائية، مع تمرير معاملات إلى دوال البناء الخاصة بها واستدعاء طرق setter. واعتمادًا على التبعيات المثبتة، يمكن تنفيذ أنواع مختلفة من الهجمات، بما في ذلك تنفيذ كود عشوائي، واسترجاع معلومات حساسة، والوصول غير المصرح به.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

@huntr Ai

حجز

16/05/2024

إفشاء

20/03/2025

الاعتدال

تمت الموافقة

إدخال

VDB-300368

EPSS

0.79390

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!