CodeIgniter 4.1.9(セキュリティ修正)がリリースされました
(2022年12月31日 追記) CodeIgniter 4.2.11より前のバージョンには脆弱性が報告されています。 「 CodeIgniter 4.2.11(セキュリティ修正)がリリースされました」を参照してください。
CodeIgniter v4.1.9
以下の2件の脆弱性を修正したCodeIgniter 4.1.9がリリースされました。既存ユーザーの方は直ちにアップグレードすることを推奨します。
- Remote CLI Command Execution Vulnerability in CodeIgniter4
- Cross-Site Request Forgery (CSRF) Protection Bypass Vulnerability in CodeIgniter4
ちなみに 4.1.8 と 4.1.6 で以下の脆弱性が修正されています。
- XSS Vulnerability in API\ResponseTrait in CodeIgniter4
- Deserialization of Untrusted Data in Codeigniter4
Remote CLI Command Execution Vulnerability
Remote CLI Command Execution Vulnerability in CodeIgniter4 はCodeIgniter4史上最も深刻な脆弱性です。
回避策はありません。直ちに 4.1.9 以降にアップグレードしてください。
この脆弱性はリモートからCodeIgniterのCLIコマンドを実行できるというもので、悪用された場合の影響は計り知れません。
参考
Date: 2022年02月28日
Tags: codeigniter, codeigniter4, release, security