Múltiples vulnerabilidades 0day en ImageMagick

Fecha de publicación: 06/02/2023

Importancia:
Alta

Recursos afectados:

ImageMagick, versión 7.1.0-49.

Descripción:

El equipo Ocelot de Metabase Q ha descubierto 2 vulnerabilidades 0day en la herramienta de gestión de imágenes ImageMagick, cuya explotación podría permitir la realización de una denegación de servicio (DoS) o la divulgación de información, mediante la subida de una imagen maliciosa a un sitio web utilizando ImageMagick.

Solución:

Actualizar a las versiones 7.1.0-52 o posteriores.

Detalle:

  • Cuando la herramienta analiza un archivo PNG, el proceso de conversión podría quedar a la espera de la entrada stdin, lo que podría provocar una condición de DoS, ya que no se podrían procesar otras imágenes. Se ha asignado el identificador CVE-2022-44267 para esta vulnerabilidad.
  • Cuando ImageMagick analiza un fichero PNG, la imagen resultante podría tener embebido el contenido de un archivo remoto arbitrario del sitio web, en el caso de que el binario tenga permisos para leerlo. Se ha asignado el identificador CVE-2022-44268 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
0day, Actualización, Privacidad, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.