Vulnerabilidad en Redis de Yii 2 (CVE-2025-48493)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-532 Exposición de información a través de archivos de log

Fecha de publicación:

05/06/2025

Última modificación:

18/09/2025

Descripción

La extensión Redis de Yii 2 proporciona compatibilidad con el almacén de claves-valor de Redis para el framework Yii 2.0. Si falla la conexión, la extensión escribe la secuencia de comandos en los registros. Antes de la versión 2.0.20, los parámetros AUTH se escribían en texto plano, exponiendo el nombre de usuario y la contraseña. Esto podría ser un problema si un atacante tiene acceso a los registros. La versión 2.0.20 soluciona el problema.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:L/VI:L/VA:L/SC:L/SI:L/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.10 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:L/VI:L/VA:L/SC:L/SI:L/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Bajo
Confidentiality (SC): Bajo
Integrity (SI): Bajo
Availability (SA): Alto

Puntuación base 4.0

5.10

Gravedad 4.0

MEDIA

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno