CVE-2026-48062 in CodeIgniterinfo

Zusammenfassung

von VulDB • 17.07.2026

CodeIgniter ist ein Full-Stack-Web-Framework für PHP. Vor Version 4.7.3 hat die Upload-Validierungsregel `ext_in` in `system/Validation/StrictRules/FileRules.php` die aus dem MIME-Typ abgeleitete, geschätzte Dateiendung anstelle der vom Client bereitgestellten Dateinamenserweiterung überprüft. Infolgedessen konnte eine hochgeladene Datei mit dem Namen `shell.php`, die GIF-ähnliche Inhalte enthält, die Validierung bestehen (z. B. `uploaded[avatar]|is_image[avatar]|mime_in[avatar,image/gif]|ext_in[avatar,gif]`), da der erkannte MIME-Typ auf gif abbildet, obwohl die hochgeladene Dateinamenserweiterung php lautet. Anwendungen sind betroffen, wenn sie benutzerkontrollierte Uploads akzeptieren, sich zur Validierung der hochgeladenen Dateinamenserweiterung auf `ext_in` verlassen, hochgeladene Dateien unter Verwendung des ursprünglichen Client-Dateinamens mit `$file->move($path)` speichern, Uploads in einem webzugänglichen Verzeichnis ablegen und die Ausführung von PHP oder anderen ausführbaren Dateien aus diesem Verzeichnis zulassen. Unter diesen Bedingungen kann dies zu einer beliebigen Codeausführung führen. Dieses Problem wurde in Version 4.7.3 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

20.05.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379973

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!