FuelPHPのCurlレスポンスのオートフォーマット利用による任意のコード実行の脆弱性が確認された。影響を受けるのはFuelPHPバージョン1.1~1.7.1で、Request_Curlカールクラスを使用してcURLリクエストを実行した際に、オートフォーマットのメカニズムに問題があり、細工されたレスポンスにより任意のコードが実行される恐れがある。解決策として1.7.2 コードベースが公開されており、これによりオートフォーマットによるレスポンスがされなくなり、この変更適用により前のバージョンに修正される。オートフォーマットは無効になるため、Request_Curlのインスタンスのコードをスキャンし、オートフォーマットを再有効にするかexecute()の後にコードを追加して正しいフォーマットに変換する必要がある。
