CVE-2024-4990 in yii2information

Résumé

par VulDB • 12/07/2026

Dans la version 2.0.48 de yiisoft/yii2, la classe Component de base contient une vulnérabilité où la méthode magique `__set()` ne valide pas que la valeur transmise est un nom de classe Behavior ou une configuration valides. Cela permet à un attaquant d'instancier des classes arbitraires, en passant des paramètres à leurs constructeurs et en invoquant des méthodes setter. En fonction des dépendances installées, divers types d'attaques sont possibles, y compris l'exécution de code arbitraire, la récupération d'informations sensibles et un accès non autorisé.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

@huntr Ai

Réserver

16/05/2024

Divulgation

20/03/2025

Modérer

accepté

Entrée

VDB-300368

CPE

prêt

EPSS

0.79390

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!