PT-2021-6874 · Gnu+12 · Gegl+13
Publicado
2021-12-15
·
Atualizado
2025-10-22
·
CVE-2021-45463
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do GIMP anteriores à 2.10.30
Versões do GEGL anteriores à 0.4.34
Descrição
A vulnerabilidade está relacionada à função
load cache no GEGL, que é utilizada pelo GIMP. Ela permite a expansão de shell quando um nome de caminho em uma linha de comando construída não é escapado ou filtrado, devido ao uso da função da biblioteca do sistema para a execução do fallback do ImageMagick convert em magick-load. Isso pode ser explorado por um invasor remoto para executar comandos arbitrários no sistema alvo, passando dados especiais para o aplicativo.Recomendações
Para versões do GEGL anteriores à 0.4.34, atualize para a versão 0.4.34 ou posterior para resolver o problema.
Para versões do GIMP anteriores à 2.10.30, atualize para a versão 2.10.30 ou posterior para resolver o problema.
Como solução temporária, considere desativar o recurso
magick-load no GEGL até que um patch esteja disponível.Restrinja o acesso à função
load cache para minimizar o risco de exploração.Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Debian
Gegl
Gimp
Imagemagick
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu