【风险公告】Yii 反序列化远程代码执行缝隙
2020-09-17 21:54:39
近日�,234钱包安全应急响应中心监测到Yii官方颁布新版本�,修复了Yii2框架反序列化远程号令执行缝隙CVE-2020-15148�。
该缝隙风险等级为高危�,请有关用户实时更新版本或采取暂缓措施�,预防遭逢损失�。
缝隙描述
Yii 是一套基于组件�、用于开发大型Web利用的高机能PHP框架�。Yii2 2.0.38 之前的版本存在远程代码执行缝隙�,法式在挪用unserialize() 时�,攻击者可通过机关特定的恶意要求利用该缝隙�。
风险等级
高危
影响版本
Yii2<2.0.38
修复建议
1. 升级到最新版本�。官方已颁布安全更新�,修复了该缝隙�:�:
https://github.com/yiisoft/yii2/security/advisories/GHSA-699q-wcff-g9mj
2. 也可采取暂缓措施�,在BatchQueryResult.php中增长如下代码�:�:
public function __sleep()
{
throw new \BadMethodCallException('Cannot serialize '.__CLASS__);
}
public function __wakeup()
{
throw new \BadMethodCallException('Cannot unserialize '.__CLASS__);
}
参考链接
[1] https://github.com/yiisoft/yii2/security/advisories/GHSA-699q-wcff-g9mj
[2] https://nvd.nist.gov/vuln/detail/CVE-2020-15148
北京234钱包网络技术有限公司
2020/09/17