Fecha: 05/05/2016
Descripción:
Un investigador del equipo de seguridad de Mail.ru ha descubierto varias vulnerabilidades que afectan a ImageMagick.
Detalle:
ImageMagick proporciona API para múltiples lenguajes y es utilizado con frecuencia en desarrollos web para el procesado de imágenes. Las vulnerabilidades descubiertas suponen un alto riesgo de seguridad y son las siguientes:
- Filtrado insuficiente de caracteres de entrada puede permitir ejecución remota de código. Se ha asignado el CVE-2016-3714 a esta vulnerabilidad.
- Vulnerabilidad SSRF. Es posible realizar peticiones HTTP o FTP al preocesar imágenes. Se ha asignado el CVE-2016-3718 a esta vulnerabilidad
- Borrado de ficheros. El pseudo protocolo "ephemeral" permitiría borrar ficheros tras su lectura. Se ha asignado el CVE-2016-3715 a esta vulnerabilidad.
- Movimiento y renombrado de ficheros. Es posible mover ficheros de imagen a otras ubicaciones y con otra extensión a través del pseudo protocolo "msl". Se ha asignado el CVE-2016-3716 a esta vulnerablidad
- Lectura de ficheros locales. El pseudo protocolo "label" permite obtener el contenido de ficheros del servidor. Se ha asignado el CVE-2016-3717 a esta vulnerabilidad
Articulo original en Incibe.es
Múltiples vulnerabilidades en ImageMagick
http://latiendadejm.com/blog/multiples-vulnerabilidades-en-imagemagick/
| | La tienda de JM
No hay comentarios:
Publicar un comentario