Yii

Die Schwachstelle steckt im PHP-Webframework Yii in dessen Mechanismus zum Anhängen von Verhalten (Behaviors) an Objekte. Wird ein Verhalten über einen bestimmten Array-Schlüssel definiert, der die zu verwendende Klasse bestimmt, behandelt Yii diese Angabe fehlerhaft. Dadurch kann ein Angreifer steuern, welche Klasse instanziiert und ausgeführt wird, und sich so über einen unzureichend abgesicherten Ausführungspfad einschleichen. Im Ergebnis lässt sich aus der Ferne beliebiger Code ausführen. Die Lücke ist eine Wiederkehr eines früher bereits behobenen Fehlers, der in einer neueren Fassung erneut auftrat. Betroffen ist nicht nur Yii selbst, sondern jede Anwendung, die auf dem Framework aufbaut und die anfällige Funktion erreichbar macht – darunter etwa das Content-Management-System Craft CMS. Da Yii als Unterbau vieler Webanwendungen dient, vergrößert sich der Kreis möglicher Ziele entsprechend. Der Fehler wurde aktiv für Angriffe ausgenutzt.