CVE-2018-6009
https://notcve.org/view.php?id=CVE-2018-6009
In Yii Framework 2.x before 2.0.14, the switchIdentity function in web/User.php did not regenerate the CSRF token upon a change of identity. En Yii Framework 2.x en versiones anteriores a la 2.0.14, la función switchIdentity en web/User.php no regeneró el token CSRF tras un cambio de identidad. • https://github.com/yiisoft/yii2/commit/6c0540aa2d6e0fe0fa89e4fd35bba4be5d6cece7 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2018-6010
https://notcve.org/view.php?id=CVE-2018-6010
In Yii Framework 2.x before 2.0.14, remote attackers could obtain potentially sensitive information from exception messages, or exploit reflected XSS on the error handler page in non-debug mode. Related to base/ErrorHandler.php, log/Dispatcher.php, and views/errorHandler/exception.php. En Yii Framework versión 2.x en versiones anteriores a la 2.0.14, los atacantes remotos podrían obtener información potencialmente sensible de mensajes de excepción o explotar XSS reflejado en la página del controlador de errores en modo non-debug. Esto se relaciona con base/ErrorHandler.php, log/Dispatcher.php, y views/errorHandler/exception.php. • https://github.com/yiisoft/yii2/commit/6b0be47e0fa9c532e03b07b4369050582fcf5c7a https://github.com/yiisoft/yii2/issues/14711 https://github.com/yiisoft/yii2/pull/15534 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •