CVE-2020-15148:Yii 反序列化远程命令执行漏洞
近日,上云无忧安全应急响应中心监测到Yii官方发布新版本,修复了Yii2框架反序列化远程命令执行漏洞。 该漏洞风险等级为高危,请相关用户及时更新版本或采取暂缓措施,避免遭受损失。 漏洞名称 Yii 反序列化远程命令执行漏洞 漏洞编号 CVE-2020-15148 风险等级 高危 漏洞描述 Yii 是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在远程代码执行漏洞,程序在调用unserialize() 时,攻击者可通过构造特定的恶意请求利用该漏洞。 影响版本 Yii2<2.0.38 修复方案 1. 升级到最新版本。官方已发布安全更新,修复了该漏洞: https://github.com/yiisoft/yii2/security/advisories/GHSA-699q-wcff-g9mj 2. 也可采取暂缓措施,在BatchQueryResult.php中添加如下代码: public function __sleep() { throw new \BadMethodCallException('Cannot serialize '.__CLASS__); } public function __wakeup() { throw new \BadMethodCallException('Cannot unserialize '.__CLASS__); } 参考链接 [1] https://github.com/yiisoft/yii2/security/advisories/GHSA-699q-wcff-g9mj [2] https://nvd.nist.gov/vuln/detail/CVE-2020-15148 |
全部评论
暂无评论
最新文章
-
1大模型数量国内第一!百度智能云国内首家支持Llama3全系列训练推理
-
2华为云推动土耳其数据库技术创新,“土耳其数据库先锋计划”正式启动
-
3鹅厂造了一座「桥」!腾讯云让主机搬家~
-
41299 万元,中兴新云中标财务共享建设项目
-
5新版本新能力,华为云 OceanBase 为何要打造实时分析数据库
-
61473.8万元,浪潮云中标重庆职业技能公共实训中心智联驾驶技术实训项目
-
7基于阿里云通义千问!央视《新闻联播》点赞中国一汽大模型应用!
-
8腾讯云4月8日故障复盘及情况说明
-
9天翼云大模型首次接入天文望远镜!基于通义千问,“星语3.0”发布
-
10IDC发布2023年中国整体超融合市场报告,深信服第一
热点排行
-
1文件存储 NAS 和 对象存储 OSS 的区别
-
2天翼云云电脑 | 让电视一秒变身电脑
-
3阿里工程师太凶残了,竟把服务器泡在“水里”!
-
4腾讯云 | 想在微信群里发起9人以上的语音聊天怎么办?
-
5数据仓库终结者:Dremio
-
62020年云服务器哪家强:阿里云、腾讯云、华为云、UCloud测评报告
-
72020 年 Q1 中国云市场份额:阿里云第一、华为云跃居第二、腾讯云下降为第三
-
8阿里云 web 应用防火墙(WAF)价格:179元/年
-
92020 Q1 中国公有云市场份额 TOP3:阿里云、腾讯云、华为云
-
10郑大一附院系统瘫痪 2 小时,运维人员被判 5 年半:破坏计算机信息系统罪
有话要说