„`html
Zusammenfassung
CVE-2026-39850 ist eine kritische Local File Inclusion (LFI) Schwachstelle im PHP-Framework Yii 2 in Version 2.0.54 und älter. Die Verwundbarkeit liegt in der View-Rendering-Methode und ermöglicht es Angreifern, beliebige Dateien einzubinden oder Code auszuführen. Der Fehler entsteht durch unsichere Verwendung der extract()-Funktion vor dem require-Statement.
Betroffene Systeme
Betroffen sind alle Anwendungen, die auf Yii 2 Framework in den Versionen 2.0.54 und älter basieren. Dies umfasst eine Vielzahl von Webanwendungen, CMS-Systemen und Enterprise-Lösungen, die auf diesem Framework aufgebaut sind. Version 2.0.55 und höher enthalten den Sicherheits-Patch.
Technische Details
Die Verwundbarkeit liegt in der View::renderPhpFile()-Methode. Der Code führt extract($_params_, EXTR_OVERWRITE) aus, bevor die View-Datei mittels require() geladen wird. Ein Angreifer kann durch einen kontrollierten _file_-Parameter im $params-Array die interne Variable für den Dateipfad überschreiben. Dies ermöglicht:
- Local File Inclusion: Einbindung beliebiger Dateien vom Server
- Remote Code Execution: Wenn der Angreifer parallele Dateischreib-Privilegien besitzt, können PHP-Dateien platziert und ausgeführt werden
- Information Disclosure: Zugriff auf sensitive Systemdateien und Konfigurationen
Empfohlene Massnahmen
Sofortmassnahmen:
- Update auf Yii 2 Version 2.0.55 oder höher durchführen
- Falls Update nicht möglich: Input-Validierung für alle View-Parameter implementieren
- Dateisystem-Permissions überprüfen und beschränken
Monitoring: Logs auf verdächtige _file_-Parameter in Request-Daten analysieren und abnormale Include-Aktivitäten überwachen.
Bewertung
Mit CVSS 7.4 (High) ist diese Schwachstelle dringend zu beheben. Die Kombination aus LFI und möglichem RCE stellt eine erhebliche Sicherheitsbedrohung dar. Ein sofortiger Patch wird dringend empfohlen.
„`