【漏洞预警】Yii2反序列化漏洞(CVE-2025-2689|2690)
【漏洞预警】Yii2反序列化漏洞(CVE-2025-2689|2690)
cexlife 飓风网络安全 2025-03-25 20:11
CVE-2025-2689
漏洞描述:
在уiiѕоft Yii2版本至2.0.45中发现了一个被分类为严重的漏洞,这个问题影响到了文件ѕуmfоnу\findеr\Itеrаtоr\SоrtаblеItеrаtоr.рhр中的ɡеtItеrаtоr函数,通过操作可以导致反序列化,攻击可能从远程发起,该漏洞已被公开披露,并且可能被利用。
攻击场景:
攻击者可能通过远程方式对系统进行攻击,例如通过上传恶意文件来触发反序列化漏洞
影响产品:
yiisoft/yii2-dev<2.0.45
修复建议:
安装补丁:
请访问Yii2 GitHub获取最新版本并进行更新。
其他修复方法:建议替换受影响的对象或使用其他安全框架,建议尽快更新到最新版本以修复该漏洞,并在此期间限制对受影响系统的访问。
exp
CVE-2025-2690
漏洞描述:
在уiiѕоft Yii2版本至2.039中发现了一个被分类为严重的漏洞,这个漏洞影响了文件рhрunit\ѕrс\Frаmеԝоrk\MосkObјесt\MосkClаѕѕ.рhр中的Gеnеrаtе 函数,通过操作可以导致反序列化。攻击可以远程发起,该漏洞已被公开披露,并且可能被利用。
影响产品:
2.0.0<=Yiiframework Yii<=2.0.39
攻击场景:
攻击者可能通过远程方式对系统进行攻击,例如通过上传恶意文件来触发反序列化漏洞
exp
利用条件:
利用此漏洞需低权限
修复建议:
安装补丁:
请升级Yii2到最新版本以修复此漏洞,具体补丁信息和下载地址请访问Yii2官方文档
建议用户立即升级到Yii2的最新版本,避免使用不受信任的数据进行反序列化,并对输入数据进行严格验证。