← volver
CVE-2024-58136

CVE-2024-58136

CVSS 9 CRITICALEPSS 87.7%● KEVCWE-424
En resumen

El framework Yii 2 en versiones anteriores a 2.0.52 tiene una falla en cómo se adjuntan behaviors usando la clave __class, permitiendo que atacantes ejecuten código no autorizado. Este problema es una regresión de una corrección anterior y fue explotado activamente.

Detalle técnico

La vulnerabilidad permite ejecución remota de código cuando entrada no confiable se procesa durante la configuración de behaviors mediante el parámetro __class. No requiere autenticación e implica la instanciación de clases arbitrarias. Es una regresión de CVE-2024-4990 que había sido parcialmente corregido.

Resumen generado y traducido por IA a partir de la descripción oficial.
Yii 2 before 2.0.52 mishandles the attaching of behavior that is defined by an __class array key, a CVE-2024-4990 regression, as exploited in the wild in February through April 2025.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Productos afectados
yiiframework · Yii

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/yiisoft/yii2/commit/40fe496eda529fd1d933b56a1022ec32d3cd0b12https://github.com/yiisoft/yii2/compare/2.0.51...2.0.52https://github.com/yiisoft/yii2/pull/20232https://github.com/yiisoft/yii2/pull/20232#issuecomment-2252459709https://sensepost.com/blog/2025/investigating-an-in-the-wild-campaign-using-rce-in-craftcms/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-58136https://www.yiiframework.com/news/709/please-upgrade-to-yii-2-0-52