Μια κρίσιμη ευπάθεια, με την ονομασία CVE-2025-54418, εντοπίστηκε στον χειριστή ImageMagick του CodeIgniter4, αφήνοντας δυνητικά εκατομμύρια εφαρμογές ευάλωτες σε επιθέσεις εισαγωγής εντολών.
Στην ευπάθεια ανατέθηκε βαθμολογία CVSS 9.8, υποδηλώνοντας την ύψιστη σοβαρότητα και μια επείγουσα απειλή για τα παραβιασμένα συστήματα. Επηρεάζει εκδόσεις CodeIgniter4 πριν την 4.6.2 που χρησιμοποιούν τον χειριστή ImageMagick.
Η εκμετάλλευση μπορεί να συμβεί όταν κακόβουλα ονόματα αρχείων ή κείμενο σε μεταφορτωμένο περιεχόμενο οδηγούν στην εκτέλεση αυθαίρετων εντολών συστήματος. Οι developer καλούνται να αναβαθμίσουν στην έκδοση 4.6.2 ή να μεταβούν στον χειριστή GD για άμεση προστασία.
Οι λεπτομέρειες της ευπάθειας δημοσιεύτηκαν στη βάση δεδομένων GitHub Advisory Database στις 28 Ιουλίου 2025. Η κρίσιμη σοβαρότητά της πηγάζει από τη δυνατότητα πλήρους παραβίασης του συστήματος.
Συγκεκριμένα, η εκμετάλλευση δεν απαιτεί προηγούμενο έλεγχο ταυτότητας και μπορεί να πραγματοποιηθεί εξ αποστάσεως με ελάχιστη προσπάθεια, θέτοντας σημαντικό κίνδυνο για εφαρμογές προσβάσιμες μέσω του διαδικτύου.
Η συμβολοσειρά διανύσματος CVSS v3.1, CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, υπογραμμίζει τον μέγιστο δυνητικό αντίκτυπό της στην εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα.
Σε απάντηση, οι developer του CodeIgniter4 εξέδωσαν άμεσα την έκδοση 4.6.2 ως επείγουσα επιδιόρθωση. Οι οργανισμοί που χρησιμοποιούν ευάλωτες εκδόσεις καλούνται έντονα να αναβαθμίσουν χωρίς καθυστέρηση για να αποτρέψουν πιθανή εκμετάλλευση.