Popüler PHP Framework Codeigniter4’te büyük bir güvenlik kusuru tespit edilmiştir. Kritik bir güvenlik açığının etiketi olan CVE-2025-54418, 26 Temmuz 2025’te resmi olarak açıklandı ve kullanıcıları dünya çapında milyonlarca web uygulamasını tehlikeye atabilecek dosya yükleme saldırıları hedefledi.
Güvenlik açığı, Codeigniter4’ü, özellikle 4.6.2’den önceki sürümleri etkiler ve CVSS V3.1 puanlama sistemine göre maksimum bir şiddet derecesi aldı: CVSS: N/UI: N/S: U/C: H/I: H/A: H/A.AY. Bu, saldırganların kusurdan yararlanmak için hiçbir ayrıcalık veya kullanıcı etkileşimi gerektirmediği anlamına gelir ve bu da özellikle tehlikeli hale getirir.
CVE-2025-54418 nedir?
Resmi Github Danışmanlığına göre, CVE-2025-54418, Codeigniter4’ün görüntü işleme bileşeninin bir parçası olan Imagemagick Handler’da bir komut enjeksiyon güvenlik açığıdır. Görüntü manipülasyonu için Imagemagick’e dayanan uygulamalar, özellikle yeniden boyutlandırma () Ve metin() Yöntemler, özellikle dosya adları veya metin içeriği gibi kullanıcı tarafından kontrol edilen girişi kabul ederse risk altındadır.
Danışmanlıktan alıntı yaparak, “Codeigniter4’ün ImageMagick işleyicisi komut enjeksiyon güvenlik açığı vardır” ve ayrıca bir saldırganın, görüntü işlendiğinde yürütülebilecek olan kabuk metacharacters içeren kötü amaçlı dosya adlarıyla dosya yükleyebileceğini açıklar. Alternatif olarak, kullanıcılar tarafından sağlanan kötü niyetli metin içeriği metin() Yöntem aynı sonucu tetikleyebilir.
Kim etkilenir?
Codeigniter4 ile oluşturulan herhangi bir uygulama:
- Görüntü kütüphanesi olarak imageMagick (imagick) ve
- Kontrol edilebilir dosya adlarıyla kullanıcı yüklü dosyaları kabul eder veya
- Kullanıcı tarafından sağlanan metni işlemler metin() yöntem
Bu koşullar, bir saldırganın ana bilgisayar sisteminde keyfi komutlar çalıştırması için bir açıklık oluşturur ve potansiyel olarak tam bir sistem uzlaşmasına yol açar.
Düzeltme ve geçici çözümler
Bu Codeigniter güvenlik açığını ele almak için, çerçevenin koruyucuları 4.6.2 sürümünde bir yama yayınladı. Tüm geliştiriciler derhal bu sürüme veya üstüne yükseltmeye şiddetle teşvik edilir.
Yükseltemeyenler için birkaç geçici çözüm önerildi:
- Bu sorundan etkilenmeyen GD görüntü işleyicisine (varsayılan işleyici) geçin.
- Kullanıcı tarafından sağlanan dosya adlarını kullanmaktan kaçının. Bunun yerine, gibi güvenli alternatifler kullanın rastgele () veya mağaza()otomatik olarak güvenli dosya adları üreten.
- Kullanıcı tarafından kontrol edilen metin girişi gerekliyse, şunlar gibi normal ifadeler kullanarak titizlikle sterilize edin:
preg_replace (‘/[^a-zA-Z0-9\s.,!?-]/’, ”, $ Metin) - Ayrıca, güvenliği sağlamak için tüm metin seçenekleri doğrulanmalıdır.
Çözüm
Yakın zamanda açıklanan Codeigniter güvenlik açığı olan CVE-2025-54418, GitHub kullanıcısı @ViceVirus tarafından, Codeigniter4 koruyucu @Paulbalandan’ın rehberliğinde uygulanan bir düzeltme ile rapor edilmiştir. Github Danışma Veritabanında GHSA-9952-GV64-X94C olarak kataloglanan bu kritik kusur, modern web geliştirmede dosya yükleme saldırılarının ortaya koyduğu siber güvenlik risklerini vurgulamaktadır.
Codeigniter’ın tarihsel olarak güçlü güvenlik kaydına rağmen, bu olay bizi yine Codeigniter4 gibi en bakımlı çerçevelerin bile ciddi tehditlere bağışık olmadığı, özellikle de kullanıcı girişi ve Imagemagick gibi güçlü araçlar dahil olduğunda aynı konuma getiriyor.
Geliştiriciler, sürüm 4.6.2’ye yükselterek veya önerilen azaltmaları uygulayarak, uygun giriş doğrulamasını sağlayarak ve güvensiz varsayılanlardan kaçınarak derhal hareket etmeleri istenir. Proaktif adımlar artık sistemleri sömürüden korumak ve Codeigniter4 ile inşa edilen uygulamaların bütünlüğünü korumak için gereklidir.