← voltar
CVE-2024-58136

CVE-2024-58136

CVSS 9 CRITICALEPSS 87.7%● KEVCWE-424
Em resumo

O framework Yii 2 em versões anteriores a 2.0.52 possui uma falha na forma como behaviors são anexados usando a chave __class, permitindo que atacantes executem código não autorizado. Esse problema é uma regressão de um ajuste anterior e foi explorado ativamente.

Detalhe técnico

A vulnerabilidade permite execução remota de código quando entrada não confiável é processada durante configuração de behaviors através do parâmetro __class. Não requer autenticação e envolve a instanciação de classes arbitrárias. É uma regressão do CVE-2024-4990 que havia sido parcialmente corrigido.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Yii 2 before 2.0.52 mishandles the attaching of behavior that is defined by an __class array key, a CVE-2024-4990 regression, as exploited in the wild in February through April 2025.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
yiiframework · Yii

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/yiisoft/yii2/commit/40fe496eda529fd1d933b56a1022ec32d3cd0b12https://github.com/yiisoft/yii2/compare/2.0.51...2.0.52https://github.com/yiisoft/yii2/pull/20232https://github.com/yiisoft/yii2/pull/20232#issuecomment-2252459709https://sensepost.com/blog/2025/investigating-an-in-the-wild-campaign-using-rce-in-craftcms/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-58136https://www.yiiframework.com/news/709/please-upgrade-to-yii-2-0-52