检测

FreeBSD:yii -- 远程任意 PHP 代码执行 (5a35bc56-7027-11e4-a4a3-001999f8d30b)

high Nessus 插件 ID 79364

语言:

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

Yii PHP Framework 开发人员报告称:

我们将发布 Yii 1.1.15,修复在 1.1.14 中发现的安全问题。
建议所有 1.1.14 用户将其 Yii 升级到此最新版本。
请注意,此问题只影响 1.1.14。所有之前的版本不受影响。从 1.1.14 升级到此版本非常安全,不会损坏您现有的代码。

漏洞存在于 CDetailView 小组件中。当 Yii 应用程序使用这个小组件以及使用最终用户输入配置 CDetailView 属性的“value”属性时,允许攻击者可能在服务器上执行任意 PHP 脚本。在公开漏洞利用的详细信息之前,我们这里先不说明如何利用它让用户升级。只有核心团队成员才了解此问题的详细信息。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?1875e9a2

http://www.nessus.org/u?d0d44065

插件详情

严重性: High

ID: 79364

文件名: freebsd_pkg_5a35bc56702711e4a4a3001999f8d30b.nasl

版本: 1.5

类型: local

发布时间: 2014/11/21

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:yii, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2014/11/19

漏洞发布日期: 2014/7/3

参考资料信息

CVE: CVE-2014-4672