发布日期：2025-03-20
更新日期：2025-06-13

受影响系统：

yiisoft/yii2 yiisoft/yii2 2.0.48

描述：

---

CVE(CAN) ID: CVE-2024-4990

yiisoft/yii2是Yii开源的一个快速、安全和专业的PHP框架。
yiisoft/yii2 2.0.48版本存在不安全反射漏洞，该漏洞源于__set()魔术方法未验证发送的值是否是有效的Behavior类名或配置，攻击者可利用该漏洞执行任意代码、检索敏感信息、获得未经授权的权限。

<**>

建议：

---

厂商补丁：

yiisoft/yii2
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://huntr.com/bounties/4fbdd965-02b6-42e4-b57b-f98f93415b8f

浏览次数：37
严重程度：0（网友投票）