CVE-2026-33900 Imagemagick — эксплойт и детали уязвимости HIGH

Параметр	Значение
CVSS	7,5 (HIGH)
Уязвимые версии	7.0.0-0 — 7.1.2-19
Устранено в версии	6.9.13-44
Тип уязвимости	CWE-190 (Целочисленное переполнение)
Поставщик	Imagemagick
Публичный эксплойт	Нет

ImageMagick — это бесплатное программное обеспечение с открытым исходным кодом, используемое для редактирования и управления цифровыми изображениями. В версиях ниже 7.1.2-19 и 6.9.13-44 кодировщик viff содержит проблему усечения/зацикливания целых чисел в 32-битных сборках, которая может вызвать запись в кучу за пределами границ, что потенциально может привести к сбою. Эта проблема исправлена в версиях 6.9.13-44 и 7.1.2-19.

Показать оригинальное описание (EN)

ImageMagick is free and open-source software used for editing and manipulating digital images. In versions below both 7.1.2-19 and 6.9.13-44, the viff encoder contains an integer truncation/wraparound issue on 32-bit builds that could trigger an out of bounds heap write, potentially causing a crash. This issue has been fixed in versions 6.9.13-44 and 7.1.2-19.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Не требуются

Права не нужны

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Нет

Нет утечки данных

Целостность

Нет

Нет модификации данных

Доступность

Высокое

Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-190 Integer Overflow (Целочисленное переполнение)

Уязвимые продукты 2

Конфигурация	От (включительно)	До (исключительно)
Imagemagick Imagemagick cpe:2.3:a:imagemagick:imagemagick::::::::	—	`6.9.13-44`
Imagemagick Imagemagick cpe:2.3:a:imagemagick:imagemagick::::::::	`7.0.0-0`	`7.1.2-19`