Vulnerabilidad en CodeIgniter (CVE-2025-54418)

CodeIgniter es un framework web PHP full-stack. Una vulnerabilidad de inyección de comandos presente en versiones anteriores a la 4.6.2 afecta a las aplicaciones que usan el manejador ImageMagick para el procesamiento de imágenes (`imagick` como librería de imágenes) y que permiten la carga de archivos con nombres controlados por el usuario y procesan las imágenes cargadas usando el método `resize()` o usan el método `text()` con contenido de texto u opciones controlados por el usuario. Un atacante puede cargar un archivo con un nombre malicioso que contenga metacaracteres de shell que se ejecuten cuando se procese la imagen o proporcionar contenido de texto malicioso u opciones que se ejecuten al agregar texto a las imágenes. Los usuarios deben actualizar a la v4.6.2 o posterior para recibir un parche. Como solución alternativa, cambie al manejador de imágenes GD (`gd`, el manejador predeterminado), que no se ve afectado por ninguna de las vulnerabilidades. Para la carga de archivos, en lugar de usar nombres de archivo proporcionados por el usuario, genere nombres aleatorios para eliminar el vector de ataque con `getRandomName()` al usar el método `move()`, o use el método `store()`, que genera automáticamente nombres de archivo seguros. Para operaciones de texto, si es necesario usar ImageMagick con texto controlado por el usuario, depure la entrada para permitir solo caracteres seguros y valide/restringa las opciones de texto.