近日，金山云安全应急响应中心监测到Yii官方发布新版本，修复了Yii2框架反序列化远程命令执行漏洞CVE-2020-15148。

该漏洞风险等级为高危，请相关用户及时更新版本或采取暂缓措施，避免遭受损失。

漏洞描述

Yii 是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在远程代码执行漏洞，程序在调用unserialize() 时，攻击者可通过构造特定的恶意请求利用该漏洞。

风险等级

高危

影响版本

Yii2<2.0.38

修复建议

1. 升级到最新版本。官方已发布安全更新，修复了该漏洞：

https://github.com/yiisoft/yii2/security/advisories/GHSA-699q-wcff-g9mj

2. 也可采取暂缓措施，在BatchQueryResult.php中添加如下代码：

public function __sleep()

{

    throw new \BadMethodCallException('Cannot serialize '.__CLASS__);

}

public function __wakeup()

{

    throw new \BadMethodCallException('Cannot unserialize '.__CLASS__);

}

参考链接

[1] https://github.com/yiisoft/yii2/security/advisories/GHSA-699q-wcff-g9mj 

[2] https://nvd.nist.gov/vuln/detail/CVE-2020-15148

北京金山云网络技术有限公司

2020/09/17