CVE-2024-4990 in yii2thông tin

Tóm tắt

Bởi VulDB • 12/07/2026

Trong phiên bản 2.0.48 của yiisoft/yii2, lớp Component cơ sở chứa một lỗ hổng mà phương thức ma thuật `__set()` không xác thực rằng giá trị được truyền vào là tên hợp lệ của lớp Behavior hoặc cấu hình. Điều này cho phép kẻ tấn công khởi tạo các lớp tùy ý, chuyển tham số đến hàm dựng (constructor) và gọi các phương thức setter. Tùy thuộc vào các thư viện phụ thuộc đã cài đặt, nhiều loại cuộc tấn công khác nhau có thể xảy ra, bao gồm việc thực thi mã tùy ý, truy xuất thông tin nhạy cảm và truy cập trái phép.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

@huntr Ai

Đặt trước

16/05/2024

Tiết lộ

20/03/2025

Kiểm duyệt

được chấp nhận

EPSS

0.79390

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!