anonhaven

CVE-2026-28689

MEDIUM CVSS 3.1: 6,3 EPSS 0.01%
Обновлено 10 марта 2026
Imagemagick
Параметр Значение
CVSS 6,3 (MEDIUM)
Устранено в версии 7.1.2
Тип уязвимости CWE-367 (Гонка проверки и использования (TOCTOU)), CWE-59 (Некорректная обработка ссылок)
Поставщик Imagemagick
Публичный эксплойт Нет

ImageMagick — это бесплатное программное обеспечение с открытым исходным кодом, используемое для редактирования и управления цифровыми изображениями. До версий 7.1.2-16 и 6.9.13-41 авторизация домена="path" проверяется перед окончательным открытием/использованием файла. Переключение символической ссылки между временем проверки и временем использования обходит чтение/запись, запрещенную политикой.

Эта уязвимость исправлена ​​в версиях 7.1.2-16 и 6.9.13-41.

Показать оригинальное описание (EN)

ImageMagick is free and open-source software used for editing and manipulating digital images. Prior to versions 7.1.2-16 and 6.9.13-41, domain="path" authorization is checked before final file open/use. A symlink swap between check-time and use-time bypasses policy-denied read/write. This vulnerability is fixed in 7.1.2-16 and 6.9.13-41.

Характеристики атаки

Способ атаки
Локальный
Нужен локальный доступ
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-367 Time-of-check Time-of-use (TOCTOU) (Гонка проверки и использования (TOCTOU))
CWE-59 Improper Link Resolution (Некорректная обработка ссылок)

Ссылки 1

https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-493f-jh8w-q…
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33536

Imagemagick

5,1

CVE-2026-33535

Imagemagick

4,0

CVE-2026-32636

Imagemagick

7,5

CVE-2026-32259

Imagemagick

6,7

CVE-2026-31853

Imagemagick

5,5