PT-2020-6173 · Imagemagick+4 · Imagemagick+4

Peanuts62

·

Publicado

2020-04-14

·

Atualizado

2024-10-15

·

CVE-2020-19667

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
ImageMagick versão 7.0.10-7
Descrição
O problema está relacionado a um estouro de buffer baseado em pilha e a um salto incondicional na função ReadXPMImage, no componente coders/xpm.c do ImageMagick. Isso permite que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço.
Recomendações
Para o ImageMagick versão 7.0.10-7, considere desativar a função ReadXPMImage em coders/xpm.c como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao módulo coders/xpm.c para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787

Identificadores relacionados

BDU:2021-03428
CVE-2020-19667
DLA-2523-1
DLA-3357-1
DLA-3357-2
OPENSUSE-SU-2021:0136-1
OPENSUSE-SU-2021:0148-1
OPENSUSE-SU-2021_0136-1
OPENSUSE-SU-2021_0148-1
SUSE-SU-2021:0081-1
SUSE-SU-2021:0156-1
SUSE-SU-2021:0199-1
SUSE-SU-2021:14598-1
SUSE-SU-2021_0081-1
SUSE-SU-2021_0156-1
SUSE-SU-2021_0199-1
SUSE-SU-2021_14598-1
USN-4988-1
USN-5335-1
USN-7068-1

Produtos afetados

Astra Linux
Imagemagick
Linuxmint
Suse
Ubuntu