Investigadores de ciberseguridad han revelado detalles de dos fallas de seguridad en el código abierto Software ImageMagick que podría conducir potencialmente a una denegación de servicio (DoS) y divulgación de información.
Los dos problemas, que fueron identificados por la firma latinoamericana de ciberseguridad Metabase Q en la versión 7.1.0-49, fueron dirigido en ImageMagick versión 7.1.0-52lanzado en noviembre de 2022.
Una breve descripción de las fallas es la siguiente:
- CVE-2022-44267 – Una vulnerabilidad DoS que surge al analizar una imagen PNG con un nombre de archivo que es un solo guión («-«)
- CVE-2022-44268 – Una vulnerabilidad de divulgación de información que podría explotarse para leer archivos arbitrarios de un servidor al analizar una imagen
Dicho esto, un atacante debe poder cargar una imagen maliciosa en un sitio web utilizando ImageMagick para convertir las fallas en armas de forma remota. La imagen especialmente diseñada, por su parte, se puede crear insertando un fragmento de texto que especifica algunos metadatos elegidos por el atacante (p. ej., «-» para el nombre del archivo).
«Si el nombre de archivo especificado es ‘-‘ (un solo guión), ImageMagick intentará leer el contenido de la entrada estándar, lo que podría dejar el proceso en espera para siempre», dijeron los investigadores en un comunicado. informe compartido con The Hacker News.
De la misma manera, si el nombre del archivo se refiere a un archivo real ubicado en el servidor (p. ej., «/etc/passwd»), una operación de procesamiento de imágenes realizada en la entrada podría potencialmente incrustar el contenido del archivo remoto después de que se complete.
Esta no es la primera vez que se descubren vulnerabilidades de seguridad en ImageMagick. En mayo de 2016, se revelaron múltiples fallas en el software, una de las cuales, denominada ImageTragickpodría haberse abusado para obtener la ejecución remota de código al procesar imágenes enviadas por el usuario.
A vulnerabilidad de inyección de shell se reveló posteriormente en noviembre de 2020, en el que un atacante podría insertar comandos arbitrarios al convertir archivos PDF cifrados en imágenes a través del parámetro de línea de comando «-authenticate».