Top > CVE-2022-44268

CVE#imagemagick | ImageMagick

.

  • ImageMagick において PNG 画像処理中の profile 情報の検証不備により任意のファイルが読み取り可能となる脆弱性(Scan Tech Report)
    • https://scan.netsecurity.ne.jp/article/2023/04/05/49167.html

      当該脆弱性は、ImageMagick の画像処理機能のうち、PNG ファイルを変換する処理に存在します

      coders/png.c に実装されている ReadOnePNGImage 関数では読み込む画像のメタデータに「profile」というキーが存在するかどうかを確認しないため、

      「profile」というキーの値に設定されたパスのファイルを読み取って、そのファイルの内容を処理後の画像データに含めてしまいます。

バージョン 7.1.0-49 の ImageMagick のみが当該脆弱性の影響を受けると報告されていますが、OS のベンダが提供しているパッケージからインストールしている場合はバージョン情報が大きく異なるため、使用している OS のベンダのページを確認してください。


Reload   Diff   Front page List of pages Search Recent changes Backup Referer   Help   RSS of recent changes
Last-modified: Fri, 14 Apr 2023 21:00:10 JST (436d)