Vulnerabilidad en la llamada a "unserialize()" en Yii 2 (yiisoft/yii2) (CVE-2020-15148)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
15/09/2020
Última modificación:
17/06/2026
Descripción
Yii 2 (yiisoft/yii2) versiones anteriores a 2.0.38 es vulnerable a una Ejecución de Código Remota si la aplicación llama a "unserialize()" en una entrada arbitraria de usuario. Esto es corregido en la versión 2.0.38. Una posible solución alternativa sin actualización está disponible en el aviso vinculado
Impacto
Puntuación base 3.x
8.90
Gravedad 3.x
ALTA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:yiiframework:yii:*:*:*:*:*:*:*:* | 2.0.38 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/yiisoft/yii2/commit/9abccb96d7c5ddb569f92d1a748f50ee9b3e2b99
- https://github.com/yiisoft/yii2/security/advisories/GHSA-699q-wcff-g9mj
- https://github.com/yiisoft/yii2/commit/9abccb96d7c5ddb569f92d1a748f50ee9b3e2b99
- https://github.com/yiisoft/yii2/security/advisories/GHSA-699q-wcff-g9mj



