Вышел Yii 2.0.5 исправляющий проблему с безопасностью, найденную в классе yii\web\ViewAction
. Настоятельно рекомендуется обновиться. Обновление полностью совместимо с 2.0.4, содержит только исправление безопасности и не поломает ваш код.
Уязвимость в ViewAction
и заключается в возможности запускать любой PHP файл (или файл с расширением .php
) на диске передав относительный путь через параметр view
. Так как о проблеме сообщили через публичный трекер, мы исправили её и выпустили обновление немедленно.
Для этой уязвимости мы зарезервировали номер CVE-2015-5467.