Pubblicato il 2026-07-17 · Fonte: NVD NIST
La vulnerabilità CVE-2026-48062 colpisce il framework web CodeIgniter, versioni precedenti alla 4.7.3. Il problema si verifica a causa della regola di convalida dell'upload di file che verifica l'estensione del file MIME anziché quella fornita dal client. Ciò consente a un utente malintenzionato di caricare un file PHP mascherato da immagine GIF, bypassando le misure di sicurezza. La gravità di questa vulnerabilità è classificata come critica, con un punteggio CVSS di 9.8.
Un attaccante può sfruttare questa vulnerabilità per eseguire codice arbitrario sul server, semplicemente caricando un file PHP con un nome che sembra un'immagine GIF. Ciò può portare a un controllo completo del sistema, con la possibilità di eseguire comandi, rubare dati sensibili o installare malware. I sistemi a rischio sono quelli che utilizzano CodeIgniter per gestire upload di file e che non hanno aggiornato il framework alla versione 4.7.3 o successiva.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare CodeIgniter alla versione 4.7.3 o successiva. Inoltre, è importante implementare ulteriori misure di sicurezza, come la validazione dei nomi dei file e la limitazione dei tipi di file che possono essere caricati. È anche raccomandato di memorizzare gli upload in una directory non accessibile via web e di utilizzare un Web Application Firewall (WAF) per monitorare e bloccare eventuali attacchi.
La vulnerabilità CVE-2026-48062 è un problema di sicurezza nel framework web CodeIgniter che può portare a esecuzione di codice arbitrario.
La gravità di questa vulnerabilità è classificata come critica, con un punteggio CVSS di 9.8.
Per proteggersi da questa vulnerabilità, è necessario aggiornare CodeIgniter alla versione 4.7.3 o successiva e implementare ulteriori misure di sicurezza, come la validazione dei nomi dei file e la limitazione dei tipi di file che possono essere caricati.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.