CVE-2022-24720

Versões do image processing anteriores à 1.12.2

Versões do ruby-image-processing anteriores à 1.10.3-1+deb11u1

A biblioteca image processing, um wrapper para libvips e ImageMagick/GraphicsMagick, contém uma falha em que entradas de usuário não sanitizadas passadas para o método #apply podem levar à execução remota de código. Isso ocorre porque a biblioteca não neutraliza adequadamente elementos especiais usados em comandos do sistema operacional. O problema afeta também as variantes do Active Storage, uma vez que elas chamam internamente esse método. A exploração dessa falha poderia permitir que um invasor remoto executasse comandos de shell arbitrários.

Pontos de extremidade da API: Não são mencionados pontos de extremidade específicos da API.

Parâmetros ou variáveis vulneráveis: operations

Nomes de funções: ImageProcessing::Vips.apply()

Atualize o image processing para a versão 1.12.2 ou posterior.

Atualize o ruby-image-processing para a versão 1.10.3-1+deb11u1 ou posterior.

Se você estiver processando imagens com base na entrada do usuário, sempre sanitize a entrada, permitindo apenas um conjunto restrito de operações.