Уязвимость BDU:2024-04384

Уязвимость BDU:2024-04384

Идентификатор: BDU:2024-04384.

Наименование уязвимости: Уязвимость режима Debug Mode PHP фреймворка Yii, позволяющая нарушителю проводить межсайтовые сценарные атаки.

Описание уязвимости: Уязвимость режима Debug Mode PHP фреймворка Yii связана с непринятием мер по защите структуры веб-страницы в результате некорректного отображения значений аргументов функции в трассировке стека. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки
Уязвимое ПО: Прикладное ПО информационных систем Yii Yii от 2.0.0 до 2.0.49.3 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 30.05.2024.
CVSS 2.0: AV:N/AC:H/Au:N/C:P/I:P/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,2)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/yiisoft/yii2/releases
https://github.com/yiisoft/yii2/commit/52e4a3e645eaece47c3f9dddac7c1771a5bd7804
https://github.com/yiisoft/yii2/commit/f7baab16e79f2369d4838ab5653c3c07ecf26615
https://github.com/yiisoft/yii2/security/advisories/GHSA-qg5r-95m4-mjgjc
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-32877.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/yiisoft/yii2/commit/f7baab16e79f2369d4838ab5653c3c07ecf26615
https://github.com/yiisoft/yii2/security/advisories/GHSA-qg5r-95m4-mjgj

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: