CVE-2026-48062 in CodeIgniterالمعلومات

الملخص

بحسب VulDB • 17/07/2026

CodeIgniter هو إطار عمل ويب متكامل (full-stack) مبني بلغة PHP. قبل الإصدار 4.7.3، كانت قاعدة التحقق من صحة رفع الملفات `ext_in` الموجودة في الملف `system/Validation/StrictRules/FileRules.php` تتحقق من الامتداد المُستنتج بناءً على نوع MIME بدلاً من امتداد اسم الملف المقدم من العميل (client-provided filename extension). ونتيجة لذلك، كان بإمكان ملف مرفوع باسم `shell.php` يحتوي على محتوى يشبه ملفات GIF تجاوز عمليات التحقق مثل `uploaded[avatar]|is_image[avatar]|mime_in[avatar,image/gif]|ext_in[avatar,gif]` لأن نوع MIME المكتشف يرتبط بامتداد gif، حتى لو كان امتداد اسم الملف المرفوع هو php. تتأثر التطبيقات التي تقبل رفع الملفات الخاضعة لسيطرة المستخدم وتعتمد على `ext_in` للتحقق من صحة الامتداد الخاص باسم الملف المرفوع، وتحفظ الملفات المرفوعة باستخدام الاسم الأصلي المقدم من العميل عبر `$file->move($path)`، وتخزن هذه الرفع في دليل يمكن الوصول إليه عبر الويب، وتسمح بتشغيل ملفات PHP أو غيرها من الملفات القابلة للتنفيذ من ذلك الدليل. وفي ظل تلك الظروف، قد يؤدي هذا إلى تنفيذ عشوائي للأوامر (arbitrary code execution). تم إصلاح هذه المشكلة في الإصدار 4.7.3.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

20/05/2026

إفشاء

18/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379973

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!