Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la función switchIdentity en Yii Framework (CVE-2018-6009)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
22/01/2018
Última modificación:
09/02/2018

Descripción

En Yii Framework 2.x en versiones anteriores a la 2.0.14, la función switchIdentity en web/User.php no regeneró el token CSRF tras un cambio de identidad.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:yiiframework:yiiframework:2.0.0:*:*:*:*:*:*:*
cpe:2.3:a:yiiframework:yiiframework:2.0.0:alpha:*:*:*:*:*:*
cpe:2.3:a:yiiframework:yiiframework:2.0.0:beta:*:*:*:*:*:*
cpe:2.3:a:yiiframework:yiiframework:2.0.0:rc:*:*:*:*:*:*
cpe:2.3:a:yiiframework:yiiframework:2.0.1:*:*:*:*:*:*:*
cpe:2.3:a:yiiframework:yiiframework:2.0.2:*:*:*:*:*:*:*
cpe:2.3:a:yiiframework:yiiframework:2.0.3:*:*:*:*:*:*:*
cpe:2.3:a:yiiframework:yiiframework:2.0.4:*:*:*:*:*:*:*
cpe:2.3:a:yiiframework:yiiframework:2.0.5:*:*:*:*:*:*:*
cpe:2.3:a:yiiframework:yiiframework:2.0.6:*:*:*:*:*:*:*
cpe:2.3:a:yiiframework:yiiframework:2.0.7:*:*:*:*:*:*:*
cpe:2.3:a:yiiframework:yiiframework:2.0.8:*:*:*:*:*:*:*
cpe:2.3:a:yiiframework:yiiframework:2.0.9:*:*:*:*:*:*:*
cpe:2.3:a:yiiframework:yiiframework:2.0.10:*:*:*:*:*:*:*
cpe:2.3:a:yiiframework:yiiframework:2.0.11:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información