Los chicos de CodeIgniter han publicado un parche de seguridad para la versión 1.7.2. Puedes obtener el parche descargándolo por separado, o descargando la instalación de CodeIgniter. Todas las aplicaciones que usen la clase File Upload deberían instalar el parche para asegurarse que sus aplicaciones no son vulnerables.

A la vez que han solucionado el bug, han agregado algunas pequeñas mejoras a la Clase Upload, ahora puede renombrar el fichero. Anteriormente, debíamos “apañarnosla” un poco en el controlador para cambiar la extension. Ahora, usando el parámetro de configuración file_name se puede proporcionar el nombre completo, incluyendo la extensión, ignorando el nombre proporcionado por el navegador.

Después e aplicar el parche, necesitarás ajustar el code de acuerdo con la clase si usas la variable file_name en la Clase Upload. Los chicos de CodeIgniter comentan que no son partidarios de realizar este tipo de cambios entre versiones que pueden ser incompatibles con aplicaciones existentes, pero comentan que este cambio era una parte del parche de seguridad.

Fuente oficial.