Vulnerabilidad en el archivo MagickCore/histogram.c en la función HistogramCompare() en los valores rgb y en el valor "count" de un color en ImageMagick (CVE-2020-25666)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-190
Desbordamiento o ajuste de enteros
Fecha de publicación:
08/12/2020
Última modificación:
11/03/2023
Descripción
Existen 4 ubicaciones en la función HistogramCompare() en el archivo MagickCore/histogram.c, donde es posible un desbordamiento de enteros durante cálculos matemáticos simples. Esto ocurre en los valores rgb y en el valor "count" de un color. El parche usa conversiones del tipo "ssize_t" para estos cálculos, en lugar de "int". Este fallo podría afectar la confiabilidad de la aplicación en caso de que ImageMagick procese un archivo de entrada diseñado. Este fallo afecta a ImageMagick versiones anteriores a 7.0.9-0
Impacto
Puntuación base 3.x
3.30
Gravedad 3.x
BAJA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:imagemagick:imagemagick:*:*:*:*:*:*:*:* | 6.9.10-69 (excluyendo) | |
| cpe:2.3:a:imagemagick:imagemagick:*:*:*:*:*:*:*:* | 7.0.0-0 (incluyendo) | 7.0.9-0 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página