CVE-2026-48062 in CodeIgniter정보

요약

\~에 의해 VulDB • 2026. 07. 17.

CodeIgniter는 PHP 풀스택 웹 프레임워크입니다. 버전 4.7.3 이전에는 system/Validation/StrictRules/FileRules.php의 ext_in 업로드 검증 규칙이 클라이언트가 제공한 파일명 확장자가 아닌 MIME 기반 추측 확장을 확인했습니다. 그 결과, GIF와 유사한 콘텐츠를 포함하는 shell.php라는 이름의 업로드된 파일은 감지된 MIME 유형이 gif로 매핑되므로(업로드된 파일명의 확장자는 php임에도 불구하고) uploaded[avatar]|is_image[avatar]|mime_in[avatar,image/gif]|ext_in[avatar,gif]과 같은 검증을 통과할 수 있습니다. 사용자가 제어하는 업로드를 허용하고, ext_in을 사용하여 업로드된 파일명 확장을 검증하며, $file->move($path)를 사용하여 원래 클라이언트 파일명으로 업로드 파일을 저장하고, 업로드물을 웹에서 접근 가능한 디렉토리에 보관하며 해당 디렉토리에서 PHP 또는 기타 실행 가능 파일의 실행을 허용하는 애플리케이션이 영향을 받습니다. 이러한 조건 하에서는 임의 코드 실행으로 이어질 수 있습니다. 이 문제는 버전 4.7.3에서 해결되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 05. 20.

모더레이션

수락

항목

VDB-379973

EPSS

0.00000

출처

Want to know what is going to be exploited?

We predict KEV entries!