Se ha descubierto una vulnerabilidad de seguridad crítica en el controlador ImageMagick de Codeigniter4, exponiendo potencialmente millones de aplicaciones web a ataques de inyección de comandantes a través de cargas de archivos maliciosos.
La vulnerabilidad, rastreada como CVE-2025-54418, recibió una puntuación CVSS de 9.8, lo que indica el nivel de gravedad más alto y el riesgo inmediato para los sistemas afectados.
Control de llave
1. Vulnerabilidad crítica en Codeigniter4 <4.6.2 ImageMagick Handler.
2. Nombres/texto maliciosos en cargas Ejecutar comandos del sistema.
3. Actualice a 4.6.2 o use el controlador GD.
Vulnerabilidad de inyección de comando Codeigniter
GitHub informa que la vulnerabilidad de inyección de comandos en el controlador ImageMagick de Codeigniter4 permite a los atacantes ejecutar comandos arbitrarios del sistema en servidores vulnerables.
La falla, clasificada en CWE-78 (inyección de comando OS), afecta a todas las aplicaciones Codeigniter4 que ejecutan versiones antes de 4.6.2 que utilizan la biblioteca ImageMagick para las operaciones de procesamiento de imágenes.
La vulnerabilidad se publicó en la base de datos de asesoramiento de GitHub el 28 de julio de 2025, y se le ha asignado la gravedad crítica debido a su potencial para el compromiso completo del sistema.
El ataque no requiere autenticación y se puede ejecutar de forma remota con baja complejidad, por lo que es particularmente peligroso para las aplicaciones orientadas a Internet.
El CVSS v3.1 Vector String CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H Indica el máximo impacto entre confidencialidad, integridad y disponibilidad.
La vulnerabilidad se manifiesta a través de dos vectores de ataque primarios dentro de las aplicaciones que usan el controlador ImageMagick (Imagick como la biblioteca de imágenes).
El primer vector de ataque explota el método RESEDE () al procesar imágenes cargadas con nombres de archivos controlados por el usuario que contienen metacharacteres de shell que se ejecutan durante el procesamiento de imágenes.
El segundo vector se dirige al método text (), donde el contenido u opciones maliciosas proporcionadas por los usuarios puede dar como resultado la ejecución de comandos al agregar superposiciones de texto a las imágenes.
Los atacantes pueden elaborar nombres de archivos maliciosos o parámetros de texto que estallan en el contexto de comando ImageMagick previsto y ejecutar comandos de shell arbitrarios en el servidor subyacente.
Este tipo de vulnerabilidad es particularmente preocupante porque omite los mecanismos de validación de entrada tradicionales que se centran en el contenido de archivos en lugar de metadatos como los nombres de archivo.
Factores de riesgo El marco de los productos de los productos afectados por la colocación de dientes, todas las versiones <4.6.2ImpactCommand Inyección- Sistema Complete CompromiseExPLOIT Prerrequisitos- ImageMagick Handler habilitado (Imagick Library)- Cargas de archivos con nombres de archivos controlados por el usuario o operaciones de texto con contenido con contenido controlado por el usuario 3.1 Score 9.8 (Crítico) (Crítico) (Crítico)
Parche disponible
Desarrolladores de Codeigniter4 han lanzado Versión 4.6.2 Como parche de emergencia para abordar esta vulnerabilidad crítica. Las organizaciones que ejecutan versiones afectadas deben actualizarse inmediatamente para evitar la explotación potencial.
Para los entornos en los que no es factible el parche inmediato, hay varias soluciones disponibles para reducir la exposición al riesgo.
La mitigación temporal más efectiva implica cambiar del controlador ImageMagick al controlador de imágenes GD (GD), que sirve como predeterminado de Codeigniter4 y no se ve afectado por esta vulnerabilidad.
Para los escenarios de carga de archivos, los desarrolladores deben implementar el método getRandomName () al usar Move () o utilizar el método Store () que genera automáticamente nombres de archivo seguros.
Las aplicaciones que usan operaciones de texto deben desinfectar la entrada del usuario utilizando patrones como preg_replace (‘/(^a-Za-z0-9 \ s.,!?-)/’, $ texto) para eliminar caracteres peligrosos.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
