CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-7269
https://notcve.org/view.php?id=CVE-2018-7269
The findByCondition function in framework/db/ActiveRecord.php in Yii 2.x before 2.0.15 allows remote attackers to conduct SQL injection attacks via a findOne() or findAll() call, unless a developer recognizes an undocumented need to sanitize array input. La función findByCondition en framework/db/ActiveRecord.php en Yii, en versiones 2.x anteriores a la 2.0.15, permite que atacantes remotos lleven a cabo ataques de inyección SQL mediante una llamada findOne() o findAll(), a no ser que un desarrollador reconozca la necesidad no documentada de sanear entradas del array. • http://www.yiiframework.com/news/168/releasing-yii-2-0-15-and-database-extensions-with-security-fixes • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-8073
https://notcve.org/view.php?id=CVE-2018-8073
Yii 2.x before 2.0.15 allows remote attackers to execute arbitrary LUA code via a variant of the CVE-2018-7269 attack in conjunction with the Redis extension. Yii, en versiones 2.x anteriores a la 2.0.15, permite que atacantes remotos ejecuten código LUA arbitrario mediante una variante del ataque de CVE-2018-7269 junto con la extensión Redis. • http://www.yiiframework.com/news/168/releasing-yii-2-0-15-and-database-extensions-with-security-fixes • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-8074
https://notcve.org/view.php?id=CVE-2018-8074
Yii 2.x before 2.0.15 allows remote attackers to inject unintended search conditions via a variant of the CVE-2018-7269 attack in conjunction with the Elasticsearch extension. Yii, en versiones 2.x anteriores a la 2.0.15, permite que atacantes remotos inyecten condiciones de búsqueda no planeadas mediante una variante del ataque de CVE-2018-7269 junto con la extensión Elasticsearch. • http://www.yiiframework.com/news/168/releasing-yii-2-0-15-and-database-extensions-with-security-fixes • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2017-11516
https://notcve.org/view.php?id=CVE-2017-11516
An XSS vulnerability exists in framework/views/errorHandler/exception.php in Yii Framework 2.0.12 affecting the exception screen when debug mode is enabled, because $exception->errorInfo is mishandled. Se presenta una vulnerabilidad de tipo XSS en el archivo framework/views/errorHandler/exception.php en Yii Framework versión 2.0.12 que afecta a la pantalla de excepción cuando el modo de depuración está habilitado, ya que $exception->errorInfo es manejado inapropiadamente. • https://github.com/yiisoft/yii2/pull/14492 https://github.com/yiisoft/yii2/pull/14492/files/feb4067de8a58f391a66e395192b0d83a8109b95 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •