Múltiples vulnerabilidades 0day en ImageMagick

Fecha de publicación 06/02/2023
Importancia
4 - Alta
Recursos Afectados

ImageMagick, versión 7.1.0-49.

Descripción

El equipo Ocelot de Metabase Q ha descubierto 2 vulnerabilidades 0day en la herramienta de gestión de imágenes ImageMagick, cuya explotación podría permitir la realización de una denegación de servicio (DoS) o la divulgación de información, mediante la subida de una imagen maliciosa a un sitio web utilizando ImageMagick.

Solución

Actualizar a las versiones 7.1.0-52 o posteriores.

Detalle
  • Cuando la herramienta analiza un archivo PNG, el proceso de conversión podría quedar a la espera de la entrada stdin, lo que podría provocar una condición de DoS, ya que no se podrían procesar otras imágenes. Se ha asignado el identificador CVE-2022-44267 para esta vulnerabilidad.
  • Cuando ImageMagick analiza un fichero PNG, la imagen resultante podría tener embebido el contenido de un archivo remoto arbitrario del sitio web, en el caso de que el binario tenga permisos para leerlo. Se ha asignado el identificador CVE-2022-44268 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ImageMagick: The hidden vulnerability behind your online images
ImageMagick: la vulnerabilidad oculta detrás de tus imágenes online
Investigadores descubren nuevas vulnerabilidades en la herramienta ImageMagick
Etiquetas