CVE-2024-4990 in yii2
Resumen
por VulDB • 2026-07-12
En yiisoft/yii2 versión 2.0.48, la clase base Component contiene una vulnerabilidad donde el método mágico `__set()` no valida que el valor pasado sea un nombre de clase Behavior válido o configuración. Esto permite a un atacante instanciar clases arbitrarias, pasando parámetros a sus constructores e invocando métodos setter. Dependiendo de las dependencias instaladas, son posibles varios tipos de ataques, incluyendo la ejecución de código arbitrario, obtención de información sensible y acceso no autorizado.
Once again VulDB remains the best source for vulnerability data.