Waspada! Kerentanan RCE pada Framework CodeIgniter 4 Sebelum Versi 4.3.5

CodeIgniter 4 adalah salah satu framework PHP yang populer karena kesederhanaannya, kecepatan tinggi, dan dokumentasi yang lengkap. Framework ini banyak digunakan untuk membangun aplikasi web skala kecil hingga menengah, dengan fokus pada pengembangan yang cepat dan efisien.

Versi terbaru, CodeIgniter 4, dirancang dengan fitur modern seperti namespace, support untuk PHP 8+, dan arsitektur berbasis MVC (Model-View-Controller). Framework ini juga menyediakan mekanisme validasi data yang fleksibel, yang sayangnya menjadi celah keamanan dalam versi sebelum 4.3.5.

Pada 21 Mei 2023, ditemukan kerentanan kritis pada framework CodeIgniter 4, yang didaftarkan dengan kode CVE-2023-32692. Kerentanan ini berhubungan dengan fitur validasi yang tidak aman, di mana placeholder pada validasi dapat dieksploitasi oleh penyerang untuk menjalankan kode berbahaya. Kerentanan ini memiliki skor CVSS yang sangat tinggi yakni sebesar 9,8. Kerentanan ini memungkinkan serangan Remote Code Execution (RCE), di mana penyerang dapat mengeksekusi perintah berbahaya dari jarak jauh tanpa autentikasi. Semua versi Codeigniter 4 di bawah 4.3.5 memiliki kerentanan ini.

Remote Code Execution (RCE) adalah jenis serangan di mana penyerang dapat menjalankan kode berbahaya di sistem target dari jarak jauh. Biasanya, serangan RCE memanfaatkan celah pada input pengguna yang tidak tervalidasi atau sistem yang gagal menyaring data berbahaya dengan benar.

Dampak serangan RCE meliputi:

1. Pengambilalihan Server: Penyerang dapat mendapatkan akses penuh ke server.
2. Eksfiltrasi Data: Data sensitif dapat dicuri atau dimodifikasi.
3. Gangguan Operasi: Sistem dapat dimatikan atau dimanipulasi untuk tujuan tertentu.
4. Penyebaran Malware: Server yang terkena dapat digunakan untuk mendistribusikan malware atau ransomware.

LANGKAH MITIGASI

1. Perbarui ke CodeIgniter Versi > 4.3.5

Langkah paling sederhana dan efektif adalah memperbarui framework Anda ke versi 4.3.5 atau yang lebih baru. Versi ini telah memperbaiki kerentanan dengan mengamankan mekanisme validasi.

2. Terapkan Pengaturan Validasi dengan Array

Jika Anda belum bisa memperbarui framework, Anda dapat menerapkan mitigasi sementara dengan mengatur validasi menggunakan array eksplisit, seperti contoh berikut:

$validation->setRules([
    'email' => ['required', 'valid_email', 'is_unique[users.email,id,{id}]'],
]);

Pengaturan tersebut memastikan input pengguna divalidasi secara eksplisit, sehingga tidak ada data berbahaya yang dapat dieksekusi oleh sistem.

Sumber:

https://github.com/codeigniter4/CodeIgniter4/security/advisories/GHSA-m6m8-6gq8-c9fj

https://github.com/codeigniter4/CodeIgniter4/blob/develop/CHANGELOG.md

https://nvd.nist.gov/vuln/detail/CVE-2023-32692#range-15870744