CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 2CVE-2020-36655
https://notcve.org/view.php?id=CVE-2020-36655
Yii Yii2 Gii before 2.2.2 allows remote attackers to execute arbitrary code via the Generator.php messageCategory field. The attacker can embed arbitrary PHP code into the model file. Yii Yii2 Gii anterior a 2.2.2 permite a atacantes remotos ejecutar código de su elección a través del campo messageCategory de Generator.php. El atacante puede incrustar código PHP arbitrario en el archivo del modelo. • https://github.com/yiisoft/yii2-gii/issues/433 https://lab.wallarm.com/yii2-gii-remote-code-execution • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2022-34297
https://notcve.org/view.php?id=CVE-2022-34297
Yii Yii2 Gii through 2.2.4 allows stored XSS by injecting a payload into any field. Yii Yii2 Gii hasta 2.2.4 permite almacenar XSS inyectando un payload en cualquier campo. • https://gist.github.com/be4r/b5c48d97ef6726d3ee37f995ee5aac81 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •