CVE-2024-32877

Versões 2.0.49.3 e anteriores do Yii2

O problema reside no mecanismo de exibição dos valores dos argumentos das funções no rastreamento da pilha (stack trace), especificamente quando o valor de um argumento excede 32 caracteres. A vulnerabilidade se manifesta quando um invasor induz uma exceção na aplicação, levando à exibição de uma página de rastreamento da pilha. O uso de aspas duplas (") permite que um invasor saia do contexto do valor do atributo title e injete seus próprios atributos na tag span, incluindo código JavaScript malicioso por meio de manipuladores de eventos como onmousemove. Essa vulnerabilidade permite que um invasor execute código JavaScript arbitrário no contexto de segurança do site da vítima por meio de um link especialmente criado, levando potencialmente ao roubo de cookies, substituição de conteúdo ou controle total das contas de usuário.

Para as versões 2.0.49.3 e anteriores, atualize para a versão 2.0.50 para corrigir a vulnerabilidade. Como solução alternativa temporária, considere modificar o método htmlEncode no arquivo ErrorHandler.php para prevenir efetivamente a vulnerabilidade XSS, mantendo a funcionalidade pretendida das alterações anteriores. A modificação sugerida é alterar o método htmlEncode para usar htmlspecialchars($text, ENT QUOTES | ENT SUBSTITUTE | ENT HTML5, ‘UTF-8’).