Yii 漏洞列表

Yii 2 (yiisoft/yii2) before version 2.0.38 is vulnerable to remote code execution if the application calls `unserialize()` on arbitrary user input.

Yii2 PHP Framework before 2.0.52 is vulnerable to remote code execution via improper validation of the __class key in JSON behaviors. An attacker can instantiate arbitrary PHP classes and achieve RCE.

Yii是一个高性能的PHP框架，用于开发Web 2.0应用。如果Yii的后台管理员使用了默认或者过于简单的弱口令，那么就可能存在弱口令漏洞，这将可能使未经授权的用户或攻击者获得系统访问权限。

Yii是YII团队的开发的一套基于组件、用于开发大型Web应用的高性能PHP框架。 Yii 2.0.5 版本之前存在安全漏洞，该漏洞源于通过 webViewAction 可以执行任何本地 .php 文件。

Yii是YII团队的开发的一套基于组件、用于开发大型Web应用的高性能PHP框架。 Yii 2 v2.0.45版本存在跨站脚本漏洞，该漏洞源于端点 books 包含跨站脚本（XSS）。

Yii是YII团队的开发的一套基于组件、用于开发大型Web应用的高性能PHP框架。 Yii Framework Yii 2 Framework v.2.0.47之前版本存在SQL注入漏洞。远程攻击者利用该漏洞通过runAction函数执行任意代码。

yii2是一个快速、安全和专业的PHP框架。 himiklab yii2-jqgrid-widget 1.0.7版本及之前版本存在SQL注入漏洞。攻击者利用该漏洞执行sql注入攻击。

Yii是YII团队的开发的一套基于组件、用于开发大型Web应用的高性能PHP框架。yii2是一个快速、安全和专业的PHP框架。 Yii2 Gii 2.2.2之前版本存在安全漏洞，该漏洞源于允许远程攻击者通过Generator.php的messageCategory字段执行任意代码，攻击者利用该漏洞可以将任意PHP代码嵌入到模型文件中。

Yii是YII团队的开发的一套基于组件、用于开发大型Web应用的高性能PHP框架。 yii2 0.1.8版本及之前版本存在跨站脚本漏洞，该漏洞源于对参数file的错误操作导致跨站点脚本编写。

Yii是YII团队的开发的一套基于组件、用于开发大型Web应用的高性能PHP框架。 Yii Yii2 Gii 2.2.4及之前版本存在安全漏洞，该漏洞源于允许通过将有效负载注入任何字段来存储 XSS攻击。

Yii是YII团队的开发的一套基于组件、用于开发大型Web应用的高性能PHP框架。 Yii 1.1.27之前版本存在代码问题漏洞，该漏洞源于在任意用户输入时调用unserialize()，就会受到远程代码执行（RCE）攻击。

easyii CMS是noumo个人开发者的一个用于简单网站的简单 CMS。 easyii CMS存在安全漏洞，该漏洞源于组件File Upload Management中helpers/Upload.php文件的功能文件受到影响，可能会导致不受限制的上传。

easyii CMS是noumo个人开发者的一个用于简单网站的简单 CMS。 easyii CMS 存在安全漏洞，该漏洞源于跨站点请求伪造问题。

Yii Framework是Yii团队开发的一套基于组件、用于开发大型Web应用的高性能PHP框架。CmsInput是其中的一个CMS输入扩展插件。 Yii Framework CmsInput扩展中存在跨站脚本漏洞，该漏洞源于程序没有充分过滤用户提交的输入。当用户浏览受影响的网站时，其浏览器将执行攻击者提供的任意脚本代码。这可能导致攻击者窃取基于cookie的身份验证并发起其它攻击。

Yii Framework是Yii团队开发的一套基于组件、用于开发大型Web应用的高性能PHP框架。 Yii Framework中存在SQL注入漏洞，该漏洞源于对用户提供的数据使用SQL查询之前没有充分的验证。攻击者利用该漏洞控制应用程序，访问或修改数据，或利用底层数据库中潜在的漏洞。Yii Framework 1.1.8版本中存在漏洞，其他版本也可能受到影响。

yii2是一个快速、安全和专业的PHP框架。 yii2存在安全漏洞，该漏洞源于yii2易受随机数生成器中可预测算法的影响

yii2是一个快速、安全和专业的PHP框架。 yii2存在安全漏洞，该漏洞源于yii2易受随机数生成器中可预测算法的影响

Yii 是一个基于组件、用于开发大型 Web 应用的高性能 PHP 框架。

yidashi yii2cmf 2.0版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。

YII2-CMS是一套基于YII2框架的企业建站内容管理系统。 YII2-CMS v1.0版本中的protectedcoremoduleshomemodelsContact.php文件中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。

Yii2-StateMachine extension for Yii2是一套用于演示Yii2框架的演示网站系统。 Yii2-StateMachine extension for Yii2 2.x.x版本中存在跨站脚本漏洞，该漏洞源于程序没有严格的过滤‘role’参数。远程攻击者可‘role’参数利用该漏洞注入JavaScript代码。

Yii是Yii团队开发的一套基于组件、用于开发大型Web应用的高性能PHP框架。 Yii 2.0.15之前的2.x版本中的framework/db/ActiveRecord.php文件的‘findByCondition’函数存在SQL注入漏洞。远程攻击者可借助‘findOne()’或‘findAll()’函数的调用利用该漏洞执行任意的SQL命令或绕过访问检测方法。

Yii Framework是Yii团队开发的一套基于组件、用于开发大型Web应用的高性能PHP框架。 Yii Framework 2.0.14之前2.x版本中存在信息泄露漏洞。远程攻击者可利用该漏洞获取异常消息中的敏感信息。

Yii是Yii团队的Yii是Yii团队开发的一套基于组件、用于开发大型Web应用的高性能PHP框架。 Yii Framework 2.0.14之前的2.x版本中存在跨站请求伪造漏洞，该漏洞源于在用户身份更换之后，web/User.php文件的‘switchIdentity’函数没有重新产生跨站请求伪造令牌。攻击者可利用该漏洞执行未授权的操作。

Yii Framework是Yii团队开发的一套基于组件、用于开发大型Web应用的高性能PHP框架。 Yii Framework 2.0.12版本中的framework/views/errorHandler/exception.php文件存在跨站脚本漏洞，该漏洞源于程序没有正确的处理$exception->errorInfo。远程攻击者可利用该漏洞注入任意的Web脚本或HTML。

Yii Framework是Yii团队开发的一套基于组件、用于开发大型Web应用的高性能PHP框架。 Yii Framework 2.0.11之前的版本中存在跨站脚本漏洞。远程攻击者可借助特制的请求数据利用该漏洞注入任意的Web脚本或HTML。

Yii Framework是Yii团队开发的一套基于组件、用于开发大型Web应用的高性能PHP框架。 Yii Framework 2.0.4之前版本中存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意Web脚本或HTML。