【风险通告】Yii 反序列化远程代码执行漏洞
发布时间:2020-09-17 21:54:39
近日,金山云安全应急响应中心监测到Yii官方发布新版本,修复了Yii2框架反序列化远程命令执行漏洞CVE-2020-15148。
该漏洞风险等级为高危,请相关用户及时更新版本或采取暂缓措施,避免遭受损失。
漏洞描述
Yii 是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在远程代码执行漏洞,程序在调用unserialize() 时,攻击者可通过构造特定的恶意请求利用该漏洞。
风险等级
高危
影响版本
Yii2<2.0.38
修复建议
1. 升级到最新版本。官方已发布安全更新,修复了该漏洞:
https://github.com/yiisoft/yii2/security/advisories/GHSA-699q-wcff-g9mj
2. 也可采取暂缓措施,在BatchQueryResult.php中添加如下代码:
public function __sleep()
{
throw new \BadMethodCallException('Cannot serialize '.__CLASS__);
}
public function __wakeup()
{
throw new \BadMethodCallException('Cannot unserialize '.__CLASS__);
}
参考链接
[1] https://github.com/yiisoft/yii2/security/advisories/GHSA-699q-wcff-g9mj
[2] https://nvd.nist.gov/vuln/detail/CVE-2020-15148
北京金山云网络技术有限公司
2020/09/17
以上就是金山云为您带来的【风险通告】Yii 反序列化远程代码执行漏洞的全部内容,如果还想了解更多内容可访问金山云官网www.ksyun.com了解其它资讯。