Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a ImageMagick, que permitirían a un atacante realizar ejecución remota de código (RCE), inyección de comandos, entre otros.
Las vulnerabilidades reportadas se componen de 3 (tres) sin severidad ni puntuación asignada aún. Las mismas se detallan a continuación:
- CVE-2023-34151, sin severidad ni puntuación asignada aún. Esta vulnerabilidad se debe a una falla en la conversión de doble a size_t en varios codificadores incluidos svg, mvg en ImageMagick. Esto permitiría a un atacante enviar archivos especialmente diseñados y provocar denegación de servicio en el sistema afectado.
- CVE-2023-34152, sin severidad ni puntuación asignada aún. Esta vulnerabilidad se debe a una falla en la configuración de los parámetros /configure –enable-pipes de OpenBlob en ImageMagick. Esto permitiría a un atacante a través de un archivo de imagen que comience con un carácter ‘|’ realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2023-34153, sin severidad ni puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en la codificación/decodificación de formatos de archivos de video: vsync o video:pixel en ImageMagick. Esto permitiría a un atacante a través de valores concatenados realizar ataques de inyección de comandos de shell en el sistema afectado.
Las versiones afectadas son:
- ImageMagick, versión 6.9.6-4.
- ImageMagick, versión 7.1.0-1.
- ImageMagick, versión 7.1.30-0.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:
Referencias:
- https://securityonline.info/cve-2023-34152-shell-command-injection-bug-affecting-imagemagick/
- https://nvd.nist.gov/vuln/detail/CVE-2023-34151
- https://nvd.nist.gov/vuln/detail/CVE-2023-34152
- https://nvd.nist.gov/vuln/detail/CVE-2023-34153
- https://github.com/ImageMagick/ImageMagick/issues/6341
- https://github.com/ImageMagick/ImageMagick/issues/6338
- https://github.com/ImageMagick/ImageMagick/issues/6339
- https://twitter.com/0xasm0d3us/status/1665771187908280320
- https://imagemagick.org/archive/beta/
- https://github.com/ImageMagick/ImageMagick