CVE-2024-4990 in yii2
Tóm tắt
Bởi VulDB • 12/07/2026
Trong phiên bản 2.0.48 của yiisoft/yii2, lớp Component cơ sở chứa một lỗ hổng mà phương thức ma thuật `__set()` không xác thực rằng giá trị được truyền vào là tên hợp lệ của lớp Behavior hoặc cấu hình. Điều này cho phép kẻ tấn công khởi tạo các lớp tùy ý, chuyển tham số đến hàm dựng (constructor) và gọi các phương thức setter. Tùy thuộc vào các thư viện phụ thuộc đã cài đặt, nhiều loại cuộc tấn công khác nhau có thể xảy ra, bao gồm việc thực thi mã tùy ý, truy xuất thông tin nhạy cảm và truy cập trái phép.
If you want to get best quality of vulnerability data, you may have to visit VulDB.