注目github_advisory2分
CodeIgniter4 v4.7.3、ext_in検証バイパスの脆弱性を修正
30秒で把握
- 1CVE-2026-48062: CodeIgniter4 の ext_in が MIME ベース検証でファイル名拡張子をバイパス
- 2shell.php が gif 判定を通過し、条件次第で任意コード実行につながる
- 3v4.7.3 へのアップグレード、または公開外ディレクトリ保存・ランダムファイル名で回避可
要約
CodeIgniter4 に、ファイルアップロード時の `ext_in` バリデーションルールをバイパスできる脆弱性(CVE-2026-48062)が確認された。`ext_in` がクライアント提供のファイル名拡張子ではなく MIME から推測した拡張子を検証していたため、GIF 風のコンテンツを含む `shell.php` が gif として検証を通過してしまう。対象条件(ユーザーからのアップロード受付・元ファイル名保存・Web 公開ディレクトリへの保存・PHP 実行許可)が重なると任意コード実行につながる。修正版の v4.7.3 以降へのアップグレードが推奨される。
あなたへの影響
CodeIgniter4 でファイルアップロード機能を実装しているチームは、v4.7.3 への更新を次のデプロイで適用すること。
推奨:即時更新が困難な場合は、アップロード先を `writable/uploads` 等の Web 非公開ディレクトリに変更するか、`$file->getRandomName()` で元ファイル名を破棄する回避策を先行実施すること。