CVE-2025-54418

Nome do Software Vulnerável e Versões Afetadas Versões do CodeIgniter anteriores à 4.6.2

Descrição O CodeIgniter é um framework web full-stack em PHP suscetível a um problema de injeção de comandos. A vulnerabilidade impacta aplicações que utilizam o manipulador ImageMagick (imagick) para processamento de imagens e que permitem upload de arquivos com nomes de arquivos definidos pelo usuário processados via o método resize() ou empregam o método text() com texto ou opções controlados pelo usuário. Um atacante pode explorar isso fazendo upload de um arquivo com um nome de arquivo malicioso contendo metacaracteres de shell, que são executados durante o processamento da imagem, ou fornecendo conteúdo de texto ou opções maliciosos que são executados ao adicionar texto às imagens. Aproximadamente 2.254.632 sistemas estão potencialmente afetados em todo o mundo.

Recomendações Atualize para a versão 4.6.2 ou posterior para receber uma correção. Como solução alternativa, mude para o manipulador de imagens GD (gd), que não é afetado. Para cenários de upload de arquivos, gere nomes de arquivos aleatórios usando getRandomName() com o método move(), ou use o método store(), que gera automaticamente nomes de arquivos seguros. Para operações de texto, sanitize a entrada de texto controlada pelo usuário para permitir apenas caracteres seguros e valide/restrinja as opções de texto.