Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Kritische Sicherheitslücke im PHP-Framework CodeIgniter4

- Warnmeldung

Die CSBW warnt vor einer kritischen Schwachstelle im Open Source PHP-Framework CodeIgniter4. Das Entwickler-Team stellt eine abgesicherte Version zur Verfügung.
Sicherheitslücke digitale Eisenkette mit Schwachstelle

© Adobe Stock

Weltweit ca. 110.000 Websites betroffen

Eine Sicherheitsmeldung auf der Plattform GitHub vom 26. Juli 2025 warnt vor der kritischen Schwachstelle CVE-2025-54418/EUVD-2025-22914 mit einem CVSS-Score von 9.8/10. Die Sicherheitslücke ermöglicht Angreifenden Remote Code Execution (RCE).

CVE-2025-54418 betrifft alle Versionen von CodeIgniter4 vor 4.6.2. Mit der Version 4.6.2 stellt das Entwickler-Team ein abgesichertes Update bereit, das die Lücke schließt. Für den Fall, dass Nutzende die Version nicht installieren können, sind Mitigationsmaßnahmen in der unten verlinkten Sicherheitsmeldung auf GitHub enthalten.

CodeIgniter4 wird in Deutschland auf ca. 6.300 und weltweit auf etwa 110.000 Websites eingesetzt.

Empfehlungen

  • Installieren Sie umgehend Version 4.6.2 von CodeIgniter4.
  • Wenn ein Update nicht möglich ist, befolgen Sie die Mitigationsmaßnahmen in der unten verlinkten Sicherheitsmeldung auf GitHub.