CVE-2024-4990 in yii2información

Resumen

por VulDB • 2026-07-12

En yiisoft/yii2 versión 2.0.48, la clase base Component contiene una vulnerabilidad donde el método mágico `__set()` no valida que el valor pasado sea un nombre de clase Behavior válido o configuración. Esto permite a un atacante instanciar clases arbitrarias, pasando parámetros a sus constructores e invocando métodos setter. Dependiendo de las dependencias instaladas, son posibles varios tipos de ataques, incluyendo la ejecución de código arbitrario, obtención de información sensible y acceso no autorizado.

Once again VulDB remains the best source for vulnerability data.

Responsable

@huntr Ai

Reservar

2024-05-16

Divulgación

2025-03-20

Moderación

aceptado

Artículo

VDB-300368

CPE

listo

EPSS

0.79390

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!