Vulnerabilidades de ejecución remota de código (RCE) e inyección de comandos en ImageMagick

06/06/2023 Noticias 0

Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a ImageMagick, que permitirían a un atacante realizar ejecución remota de código (RCE), inyección de comandos, entre otros. 

Las vulnerabilidades reportadas se componen de 3 (tres) sin severidad ni puntuación asignada aún. Las mismas se detallan a continuación: 

  • CVE-2023-34151, sin severidad ni puntuación asignada aún. Esta vulnerabilidad se debe a una falla en la conversión de doble a size_t en varios codificadores incluidos svg, mvg en ImageMagick. Esto permitiría a un atacante enviar archivos especialmente diseñados y provocar denegación de servicio en el sistema afectado. 
  • CVE-2023-34152, sin severidad ni puntuación asignada aún. Esta vulnerabilidad se debe a una falla en la configuración de los parámetros /configure –enable-pipes de OpenBlob en ImageMagick. Esto permitiría a un atacante a través de un archivo de imagen que comience con un carácter ‘|’ realizar ejecución remota de código (RCE) en el sistema afectado. 
  • CVE-2023-34153, sin severidad ni puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en la codificación/decodificación de formatos de archivos de video: vsync o video:pixel en ImageMagick. Esto permitiría a un atacante a través de valores concatenados realizar ataques de inyección de comandos de shell en el sistema afectado. 

Las versiones afectadas son:  

  • ImageMagick, versión 6.9.6-4. 
  • ImageMagick, versión 7.1.0-1. 
  • ImageMagick, versión 7.1.30-0. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace: 

Referencias: 

Compartir: