Múltiples vulnerabilidades 0day en ImageMagick
Fecha de publicación 06/02/2023
Identificador
INCIBE-2023-0042
Importancia
4 - Alta
Recursos Afectados
ImageMagick, versión 7.1.0-49.
Descripción
El equipo Ocelot de Metabase Q ha descubierto 2 vulnerabilidades 0day en la herramienta de gestión de imágenes ImageMagick, cuya explotación podría permitir la realización de una denegación de servicio (DoS) o la divulgación de información, mediante la subida de una imagen maliciosa a un sitio web utilizando ImageMagick.
Solución
Actualizar a las versiones 7.1.0-52 o posteriores.
Detalle
- Cuando la herramienta analiza un archivo PNG, el proceso de conversión podría quedar a la espera de la entrada stdin, lo que podría provocar una condición de DoS, ya que no se podrían procesar otras imágenes. Se ha asignado el identificador CVE-2022-44267 para esta vulnerabilidad.
- Cuando ImageMagick analiza un fichero PNG, la imagen resultante podría tener embebido el contenido de un archivo remoto arbitrario del sitio web, en el caso de que el binario tenga permisos para leerlo. Se ha asignado el identificador CVE-2022-44268 para esta vulnerabilidad.
Listado de referencias
Etiquetas