CodeIgniter v4.2.11

以下の 2件の脆弱性を修正した CodeIgniter 4.2.11 がリリースされました。 既存ユーザーの方は直ちにアップグレードすることを推奨します。

なお、破壊的な変更がありますので、アップグレードガイド に従ってください。

• ChangeLog v4.2.11

修正された脆弱性：

• Attackers may spoof IP address when using proxy
• Potential Session Handlers Vulnerability

Attackers may spoof IP address when using proxy

サーバーがリバースプロキシーの後ろに配置された構成の場合に、 この脆弱性を悪用すると、攻撃者はIPアドレスを詐称できる可能性があります。

Potential Session Handlers Vulnerability

アプリケーションが、

1. 複数のセッションクッキー（例：ユーザーページ用と管理者ページ用）を使用し、
2. セッションハンドラに DatabaseHandler、MemcachedHandler、または RedisHandler を使用している場合、

攻撃者が、あるセッションクッキー（例：ユーザーページ用）を取得すると、別のセッションクッキー（例：管理者ページ用）を必要とするページにアクセスできる可能性があります。

たぶん、このようにセッションクッキーを 2つ以上使っているユーザーはほとんどいないと思いますので、この脆弱性の影響を受けるユーザーは少ないと思います。

関連

• CodeIgniter4のプロジェクトファイルを簡単にアップグレードする
• CodeIgniter 4.1.9（セキュリティ修正）がリリースされました

参考

• Version 4.2.11 — CodeIgniter 4.2.11 documentation