CVE-2024-4990 in yii2
Résumé
par VulDB • 12/07/2026
Dans la version 2.0.48 de yiisoft/yii2, la classe Component de base contient une vulnérabilité où la méthode magique `__set()` ne valide pas que la valeur transmise est un nom de classe Behavior ou une configuration valides. Cela permet à un attaquant d'instancier des classes arbitraires, en passant des paramètres à leurs constructeurs et en invoquant des méthodes setter. En fonction des dépendances installées, divers types d'attaques sont possibles, y compris l'exécution de code arbitraire, la récupération d'informations sensibles et un accès non autorisé.
If you want to get best quality of vulnerability data, you may have to visit VulDB.