Vulnérabilités dans l’éditeur d’image ImageMagick
Date de publication :
CVE-2020-27766 [Score CVSS v3 : 7.8]
Une faille a été corrigée au sein du fichier MagickCore/statistic.c. dans ImageMagick. Un attaquant local et non authentifié peut soumettre un fichier modifié afin de provoquer un débordement de tampon mémoire sur certaines variables de type ‘unsigned long’. Cette exploitation peut provoquer un déni de service, voire d’autres comportements non spécifiées
CVE-2020-19667 [Score CVSS v3 : 7.8]
Une vulnérabilité pouvant permettre un débordement de pile mémoire dans la fonction ReadXPMImage au sein du fichier coders/xpm.c de ImageMagick. Son exploitation peut permettre à un attaquant local et non-authentifié de provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Violation des politiques de sécurité
Criticité
- Scores CVSS v3 : 7.8
Existence d’un code d’exploitation
- Un code d'exploitation (POC) pour la CVE-2020-16667 existe.
Composants vulnérables
- Les versions d’ImageMagick antérieures à 7.0.11-10 sont impactées par ces vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour ImageMagick vers la version 7.0.11-10 ou ultérieures.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.