Codeigniter4’ün ImageMagick işleyicisinde kritik bir güvenlik açığı keşfedildi ve potansiyel olarak milyonlarca web uygulamasını kötü amaçlı dosya yüklemeleri yoluyla enjeksiyon saldırılarına komuta etmeye maruz bıraktı.
CVE-2025-54418 olarak izlenen güvenlik açığı, etkilenen sistemler için en yüksek şiddet seviyesini ve anında riski gösteren 9.8 CVSS skoru aldı.
Key Takeaways
1. Critical vulnerability in CodeIgniter4 <4.6.2 ImageMagick handler.
2. Malicious filenames/text in uploads execute system commands.
3. Upgrade to 4.6.2 or use GD handler.
Codeigniter Komut Enjeksiyon Güvenlik Açığı
Github, Codeigniter4’ün Imagemagick işleyicisindeki komut enjeksiyon güvenlik açığının, saldırganların savunmasız sunucularda keyfi sistem komutları yürütmesine izin verdiğini bildiriyor.
CWE-78 (OS komut enjeksiyonu) altında sınıflandırılan kusur, görüntü işleme işlemleri için Imagemagick kütüphanesini kullanan 4.6.2’den önce sürümleri çalıştıran tüm Codeigniter4 uygulamalarını etkiler.
Güvenlik açığı, 28 Temmuz 2025’te GitHub Danışma Veritabanına yayınlandı ve tam sistem uzlaşması potansiyeli nedeniyle kritik şiddet atandı.
Saldırı, kimlik doğrulaması gerektirmez ve düşük karmaşıklıkla uzaktan yürütülebilir, bu da internete bakan uygulamalar için özellikle tehlikeli hale getirir.
CVSS v3.1 vektör dizesi CVSS: 3.1/av: n/ac: l/pr: n/ui: n/s: u/c: h/i: h/a: h, gizlilik, bütünlük ve kullanılabilirlik arasındaki maksimum etkiyi gösterir.
Güvenlik açığı, Imagemagick işleyicisini (görüntü kütüphanesi olarak Imack) kullanan uygulamalarda iki ana saldırı vektörü ile kendini gösterir.
İlk saldırı vektörü, görüntü işleme sırasında yürütülen kabuk metacharacters içeren kullanıcı kontrollü dosya adlarıyla yüklenen görüntüleri işlerken yeniden boyutlandırma () yöntemini kullanır.
İkinci vektör, kullanıcılar tarafından sağlanan kötü amaçlı içerik veya seçeneklerin görüntülere metin kaplamaları eklerken komut yürütme ile sonuçlanabileceği Metin () yöntemini hedefler.
Saldırganlar, amaçlanan Imagemagick komut bağlamından ayrılan ve temel sunucuda keyfi kabuk komutları yürüten kötü amaçlı dosya adları veya metin parametreleri oluşturabilir.
Bu tür bir güvenlik açığı özellikle ilgilidir, çünkü dosya adları gibi meta veriler yerine dosya içeriğine odaklanan geleneksel giriş doğrulama mekanizmalarını atlar.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Codeigniter4 Framework, Tüm Sürümler <4.6.2 |
| Darbe | Komut Enjeksiyonu – Tam Sistem Uzlaşması |
| Önkoşuldan istismar | – ImageMagick Handler Etkin (Imack Library)- Kullanıcı tarafından kontrol edilen dosya adlarıyla dosya yüklemeleri veya kullanıcı tarafından kontrol edilen içeriğe sahip metin işlemleri |
| CVSS 3.1 puanı | 9.8 (kritik) |
Yama mevcut
Codeigniter4 geliştiricileri, bu kritik güvenlik açığını ele almak için Acil Durum Yaması olarak 4.6.2 sürümünü yayınladı. Etkilenen sürümleri yürüten kuruluşlar, potansiyel sömürü önlemek için hemen yükseltmelidir.
Anında yama yapmanın mümkün olmadığı ortamlar için, riske maruz kalmayı azaltmak için birkaç geçici çözüm mevcuttur.
En etkili geçici hafifletme, Imagemagick işleyicisinden Codeigniter4’ün temerrütü olarak hizmet veren ve bu güvenlik açığından etkilenmeyen GD görüntü işleyicisine (GD) geçmeyi içerir.
Dosya yükleme senaryoları için, geliştiriciler Move () kullanırken GetRandomName () yöntemini uygulamalı veya otomatik olarak dosya adları oluşturan mağaza () yöntemini kullanmalıdır.
Metin işlemlerini kullanan uygulamalar, preg_replace (‘/[^a-zA-Z0-9\s.,!?-]/’, ”, $ Text) Tehlikeli karakterleri ortadan kaldırmak için.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches