欧洲三级九九九精品|99热超碰在这里的都是精品|国产91色在线|日韩|黄片在线视频观看|AAAA级毛片日本无码色情片|黄色欧洲AAAAA级别|国产视频中文字幕第一页|亚欧一二级无码欧美成a|日本国产高清无码免费|成人电影一区一级欧美特黄

近日，金山云安全應急響應中心監(jiān)測到Yii官方發(fā)布新版本，修復了Yii2框架反序列化遠程命令執(zhí)行漏洞CVE-2020-15148。

該漏洞風險等級為高危，請相關用戶及時更新版本或采取暫緩措施，避免遭受損失。

漏洞描述

Yii 是一套基于組件、用于開發(fā)大型Web應用的高性能PHP框架。Yii2 2.0.38 之前的版本存在遠程代碼執(zhí)行漏洞，程序在調用unserialize() 時，攻擊者可通過構造特定的惡意請求利用該漏洞。

風險等級

高危

影響版本

Yii2<2.0.38

修復建議

1. 升級到最新版本。官方已發(fā)布安全更新，修復了該漏洞：

https://github.com/yiisoft/yii2/security/advisories/GHSA-699q-wcff-g9mj

2. 也可采取暫緩措施，在BatchQueryResult.php中添加如下代碼：

public function __sleep()

{

    throw new \BadMethodCallException('Cannot serialize '.__CLASS__);

}

public function __wakeup()

{

    throw new \BadMethodCallException('Cannot unserialize '.__CLASS__);

}

參考鏈接

[1] https://github.com/yiisoft/yii2/security/advisories/GHSA-699q-wcff-g9mj 

[2] https://nvd.nist.gov/vuln/detail/CVE-2020-15148

北京金山云網絡技術有限公司

2020/09/17