久久综合人妻AV四区|国产乱伦手机av片免费|作爱视频在线观看免费|黄色免费三级片高清|国产黄色在线播放|久久精品丝袜噜噜丝袜|国模激情128p|欧美黄片免费视频|草碰日产人人一级爱|日韩欧美亚洲综合在线观看

近日，金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Y(jié)ii官方發(fā)布新版本，修復(fù)了Yii2框架反序列化遠(yuǎn)程命令執(zhí)行漏洞CVE-2020-15148。

該漏洞風(fēng)險(xiǎn)等級(jí)為高危，請(qǐng)相關(guān)用戶(hù)及時(shí)更新版本或采取暫緩措施，避免遭受損失。

漏洞描述

Yii 是一套基于組件、用于開(kāi)發(fā)大型Web應(yīng)用的高性能PHP框架。Yii2 2.0.38 之前的版本存在遠(yuǎn)程代碼執(zhí)行漏洞，程序在調(diào)用unserialize() 時(shí)，攻擊者可通過(guò)構(gòu)造特定的惡意請(qǐng)求利用該漏洞。

風(fēng)險(xiǎn)等級(jí)

高危

影響版本

Yii2<2.0.38

修復(fù)建議

1. 升級(jí)到最新版本。官方已發(fā)布安全更新，修復(fù)了該漏洞：

https://github.com/yiisoft/yii2/security/advisories/GHSA-699q-wcff-g9mj

2. 也可采取暫緩措施，在BatchQueryResult.php中添加如下代碼：

public function __sleep()

{

    throw new \BadMethodCallException('Cannot serialize '.__CLASS__);

}

public function __wakeup()

{

    throw new \BadMethodCallException('Cannot unserialize '.__CLASS__);

}

參考鏈接

[1] https://github.com/yiisoft/yii2/security/advisories/GHSA-699q-wcff-g9mj 

[2] https://nvd.nist.gov/vuln/detail/CVE-2020-15148

北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2020/09/17