ImageMagick bis 7.0.8 MagickCore/quantum.h Pufferüberlauf

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
4.3$0-$5k0.00

Es wurde eine Schwachstelle in ImageMagick bis 7.0.8 (Image Processing Software) entdeckt. Sie wurde als problematisch eingestuft. Es geht dabei um eine unbekannte Verarbeitung der Datei MagickCore/quantum.h. Dank der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-190 vorgenommen. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

A flaw was found in ImageMagick in MagickCore/quantum.h. An attacker who submits a crafted file that is processed by ImageMagick could trigger undefined behavior in the form of values outside the range of type unsigned char. This would most likely lead to an impact to application availability, but could potentially cause other problems related to undefined behavior. This flaw affects ImageMagick versions prior to 7.0.9-0.

Die Schwachstelle wurde am 05.12.2020 publiziert. Das Advisory findet sich auf bugzilla.redhat.com. Die Identifikation der Schwachstelle wird seit dem 27.10.2020 mit CVE-2020-27775 vorgenommen. Der Angriff kann im lokalen Netzwerk erfolgen. Das Ausnutzen erfordert eine einfache Authentisierung. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.

Ein Aktualisieren auf die Version 7.0.9-0 vermag dieses Problem zu lösen.

Produktinfoedit

Typ

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 4.4
VulDB Meta Temp Score: 4.3

VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 3.3
NVD Vector: 🔒

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔒

Exploitinginfoedit

Klasse: Pufferüberlauf
CWE: CWE-190
ATT&CK: Unbekannt

Lokal: Nein
Remote: Teilweise

Verfügbarkeit: 🔒
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: ImageMagick 7.0.9-0

Timelineinfoedit

27.10.2020 CVE zugewiesen
05.12.2020 +39 Tage Advisory veröffentlicht
05.12.2020 +0 Tage VulDB Eintrag erstellt
12.12.2020 +7 Tage VulDB letzte Aktualisierung

Quelleninfoedit

Produkt: https://www.imagemagick.org/

Advisory: bugzilla.redhat.com
Status: Bestätigt

CVE: CVE-2020-27775 (🔒)

Eintraginfoedit

Erstellt: 05.12.2020 10:21
Aktualisierung: 12.12.2020 22:47
Anpassungen: (18) vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai vulnerability_cvss3_meta_basescore vulnerability_cvss3_meta_tempscore vulnerability_cvss2_nvd_basescore vulnerability_cvss3_nvd_basescore
Komplett: 🔍

Kommentare

Might our Artificial Intelligence support you?

Check our Alexa App!