yii\web\ViewAction
見つかったセキュリティ問題を修正するYii 2.0.5がリリースされました。 アップグレードすることを強くお勧めします 。 この更新プログラムは2.0.4と完全な互換性があり、セキュリティパッチのみが含まれ、コードを破壊しません。
ViewAction
の脆弱性は、
view
パラメータを介して相対パスを渡すことにより、ディスク上でPHPファイル(または
.php
拡張子を持つファイル)を実行する機能にあります。 この問題は公開トラッカーを通じて報告されたため、修正してすぐにアップデートをリリースしました。
この脆弱性のために、番号CVE-2015-5467を予約しました。