PT-2022-15002 · Unknown · Codeigniter4

Mgatner

·

Publicado

2022-01-04

·

Atualizado

2024-03-06

·

CVE-2022-21647

CVSS v3.1

7.7

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do CodeIgniter4 anteriores à 4.1.6
Descrição
Foi detectada uma vulnerabilidade de deserialização de dados não confiáveis na função old() do CodeIgniter4. Invasores remotos podem injetar objetos arbitrários carregáveis automaticamente por meio dessa vulnerabilidade e, possivelmente, executar código PHP existente no servidor. Sabe-se da existência de um exploit funcional, que pode levar à injeção de SQL.
Recomendações
Atualize para a versão 4.1.6 ou posterior.
Como solução temporária, considere não usar a função old() e o form helper, nem RedirectResponse::withInput() e redirect()->withInput().

Exploit

Correção

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

BIT-CODEIGNITER-2022-21647
CVE-2022-21647
GHSA-W6JR-WJ64-MC9X

Produtos afetados

Codeigniter4