Yii
Уязвимости
25
Эксплуатируемые
1
Макс. CVSS
10
Макс. EPSS
0.87714
Распределение по критичности
Критический
9
Высокий
6
Средний
10
Низкий
0
Также сопоставлено как (исходные строки): yii
Топ уязвимостей
CVE-2020-15148Yii 2 (yiisoft/yii2) до версии 2.0.38 уязвим для удаленного выполнения кода, если приложение вызывает `unserialize()` для произвольного пользовательского ввода. Это исправлено в версии 2.0.38. Возможное обходное решение без обновления доступно в связанном совете.
CVE-2024-58136Yii 2 до версии 2.0.52 содержит уязвимость, связанную с неправильной обработкой подключения поведения, определенного массивом __class. Злоумышленники эксплуатировали эту уязвимость в дикой природе в феврале-апреле 2025 года [1]. Рекомендуется обновиться до версии 2.0.52 или более поздней.
Источники:
- [1] https://www.yiiframework.com/news/709/please-upgrade-to-yii-2-0-52
CVE-2023-47130Yii - это веб-фреймворк PHP с открытым исходным кодом. yiisoft/yii до версии 1.1.29 уязвим для удаленного выполнения кода (RCE), если приложение вызывает `unserialize()` для произвольного пользовательского ввода. Злоумышленник может использовать эту уязвимость для компрометации хост-системы. Разработано исправление для выпуска 1.1.29. Пользователям рекомендуется обновиться. Нет известных обходных путей для этой уязвимости.
CVE-2023-26750Уязвимость SQL-инъекции, обнаруженная в фреймворке Yii 2 Framework до v.2.0.47, позволяет удалённому злоумышленнику выполнять произвольный код через функцию runAction. ПРИМЕЧАНИЕ: позиция держателя программного обеспечения заключается в том, что уязвимость находится в стороннем коде, а не в фреймворке.
CVE-2022-41922`yiisoft/yii` до версии 1.1.27 уязвим для удаленного выполнения кода (RCE), если приложение вызывает `unserialize()` для произвольного пользовательского ввода. Это было исправлено в 1.1.27.
CVE-2018-8073Yii 2.x до версии 2.0.15 позволяет удаленным злоумышленникам выполнять произвольный код LUA через вариант атаки CVE-2018-7269 в сочетании с расширением Redis.
CVE-2018-7269Функция findByCondition в framework/db/ActiveRecord.php в Yii 2.x до версии 2.0.15 позволяет удаленным злоумышленникам проводить SQL-инъекции через вызов findOne() или findAll(), если разработчик не осознает незадокументированную необходимость очистки массива входных данных.
CVE-2015-5467web\ViewAction в Yii (также известном как Yii2) 2.x до версии 2.0.5 позволяет злоумышленникам выполнять любой локальный .php файл через относительный путь в параметре view.
CVE-2024-4990В версии 2.0.48 yiisoft/yii2 базовый класс Component содержит уязвимость, при которой магический метод `__set()` не проверяет, что переданное значение является допустимым именем класса поведения или конфигурацией. Это позволяет атакующему создавать экземпляры произвольных классов, передавая параметры их конструкторам и вызывая методы-сеттеры. В зависимости от установленных зависимостей возможны различные виды атак, включая выполнение произвольного кода, получение конфиденциальной информации и несанкционированный доступ.
CVE-2020-36655Yii Yii2 Gii до версии 2.2.2 позволяет удаленным злоумышленникам выполнять произвольный код через поле messageCategory в Generator.php. Злоумышленник может внедрить произвольный PHP-код в файл модели.
CVE-2018-6009В Yii Framework 2.x до версии 2.0.14 функция switchIdentity в web/User.php не перегенерировала токен CSRF при смене идентификации.
CVE-2018-8074Yii 2.x до версии 2.0.15 позволяет удаленным злоумышленникам внедрять непредусмотренные условия поиска через вариант атаки CVE-2018-7269 в сочетании с расширением Elasticsearch.
CVE-2021-3689yii2 уязвим к использованию предсказуемого алгоритма в генераторе случайных чисел.
CVE-2018-6010В Yii Framework 2.x до версии 2.0.14 удаленные злоумышленники могли получить потенциально конфиденциальную информацию из сообщений об исключениях или использовать отраженный XSS на странице обработчика ошибок в нережимной отладке. Связано с base/ErrorHandler.php, log/Dispatcher.php и views/errorHandler/exception.php.
CVE-2026-39850Yii 2 - это PHP-фреймворк приложений. Версий 2.0.54 и предыдущие содержат ошибочную логику в методе рендеринга просмотра Просмотр::renderPhpFile(), который приводит к включению локального файла. Функция вызывает extract($_params_, EXTR_OVERWRITE) перед требованием оператора, загружающего файл просмотра. В результате ключ _file_ с контролируемым вызываем в массиве $params перезаписывает внутреннюю локальную переменную, указывающую, какой файл включать, потенциально позволяя RCE, если злоумышленник может писать файлы PHP через отдельный примитив, а также раскрытие информации. Эта проблема исправлена в версии 2.0.55.
CVE-2025-32027Yii - это PHP веб-фреймворк с открытым исходным кодом. До версии 1.1.31 yiisoft/yii уязвим к отраженному XSS в определенных сценариях, когда используется резервный рендерер ошибок. Обновите yiisoft/yii до версии 1.1.31 или выше [1].
Источники:
- [1] https://github.com/yiisoft/yii/security/advisories/GHSA-7r2v-8wxr-3ch5
CVE-2022-31454В Yii 2 v2.0.45 обнаружена межсайтовая скриптовая (XSS) уязвимость через конечную точку /books. ПРИМЕЧАНИЕ: это оспаривается поставщиком, поскольку на странице cve-2022-31454-8e8555c31fd3 не описывается, почему /books имеет отношение к Yii 2.
CVE-2017-7271Отраженная уязвимость межсайтового скриптинга (XSS) в Yii Framework до 2.0.11, когда используется режим разработки, позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданные данные запроса, которые неправильно обрабатываются на экране исключений в режиме отладки.
CVE-2018-20745Yii 2.x версий до 2.0.15.1 активно преобразует политику CORS с подстановочными знаками в отражение произвольного значения заголовка Origin, что несовместимо с конструкцией безопасности CORS и может привести к проблемам безопасности, связанным с неправильной конфигурацией CORS.
CVE-2022-34297Yii Yii2 Gii до версии 2.2.4 допускает хранимую XSS путем внедрения полезной нагрузки в любое поле.
CVE-2025-2690В уязвимости, которая была классифицирована как критическая, обнаружена в yiisoft Yii2 до версии 2.0.39. Это затрагивает функцию Generate файла phpunit\src\Framework\MockObject\MockClass.php. Манипуляция приводит к десериализации. Возможна удаленная атака. Эксплойд был раскрыт широкой общественности и может быть использован.
CVE-2025-2689Уязвимость, классифицированная как критическая, была обнаружена в yiisoft Yii2 до версии 2.0.45. Функция getIterator файла symfony\finder\Iterator\SortableIterator.php подвержена этой уязвимости. Манипуляция приводит к десериализации. Атака может быть осуществлена удаленно. Эксплуатация была раскрыта общественности и может быть использована.
CVE-2021-3692yii2 уязвим к использованию предсказуемого алгоритма в генераторе случайных чисел.
CVE-2024-32877Yii 2 — это фреймворк PHP-приложений. Во время внутреннего тестирования на проникновение продукта на основе Yii2 пользователи обнаружили уязвимость межсайтового скриптинга (XSS) в самом фреймворке. Эта проблема актуальна для последней версии Yii2 (2.0.49.3). Эта проблема заключается в механизме отображения значений аргументов функции в трассировке стека. Уязвимость проявляется, когда значение аргумента превышает 32 символа. Для удобства значения аргументов, превышающие этот предел, усекаются и отображаются с добавлением «...». Полное значение аргумента становится видимым при наведении на него указателя мыши, поскольку оно отображается в атрибуте title тега span. Однако использование двойной кавычки (") позволяет злоумышленнику выйти из контекста значения атрибута title и внедрить свои собственные атрибуты в тег span, включая вредоносный код JavaScript через обработчики событий, такие как onmousemove. Эта уязвимость позволяет злоумышленнику выполнить произвольный код JavaScript в контексте безопасности сайта жертвы через специально созданную ссылку. Это может привести к краже файлов cookie (включая файлы cookie httpOnly, которые доступны на странице), подмене контента или полному захвату учетных записей пользователей. Эта проблема была устранена в версии 2.0.50. Пользователям рекомендуется обновиться. Обходных путей для этой уязвимости нет.
CVE-2015-3397Уязвимость межсайтового скриптинга (XSS) в Yii Framework до версии 2.0.4 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через векторы, связанные с JSON, массивами и Internet Explorer 6 или 7.