Múltiples vulnerabilidades 0day en ImageMagick

Fecha de publicación:

06/02/2023

Identificador:

INCIBE-2023-0042

Importancia:

4 - Alta

Recursos afectados:

ImageMagick, versión 7.1.0-49.

Descripción:

El equipo Ocelot de Metabase Q ha descubierto 2 vulnerabilidades 0day en la herramienta de gestión de imágenes ImageMagick, cuya explotación podría permitir la realización de una denegación de servicio (DoS) o la divulgación de información, mediante la subida de una imagen maliciosa a un sitio web utilizando ImageMagick.

Solución:

Actualizar a las versiones 7.1.0-52 o posteriores.

Detalle:

Cuando la herramienta analiza un archivo PNG, el proceso de conversión podría quedar a la espera de la entrada stdin, lo que podría provocar una condición de DoS, ya que no se podrían procesar otras imágenes. Se ha asignado el identificador CVE-2022-44267 para esta vulnerabilidad.
Cuando ImageMagick analiza un fichero PNG, la imagen resultante podría tener embebido el contenido de un archivo remoto arbitrario del sitio web, en el caso de que el binario tenga permisos para leerlo. Se ha asignado el identificador CVE-2022-44268 para esta vulnerabilidad.

Referencias:

ImageMagick: The hidden vulnerability behind your online images

ImageMagick: la vulnerabilidad oculta detrás de tus imágenes online

Investigadores descubren nuevas vulnerabilidades en la herramienta ImageMagick

Etiquetas:

Accesos corporativos

Múltiples vulnerabilidades 0day en ImageMagick

Vulnerabilidades 0day en chipsets Exynos de Samsung

Múltiples vulnerabilidades en el core de Drupal

Actualización de seguridad de SAP de marzo de 2023

Múltiples vulnerabilidades en productos ClearPass Policy Manager de Aruba

Actualizaciones de seguridad de Microsoft de marzo de 2023