ImageMagick 7.0.8-50 Q16 MagickWand/operation.c AcquireMagickMemory Null Value Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in ImageMagick 7.0.8-50 Q16 gefunden. Sie wurde als problematisch eingestuft. Hiervon betroffen ist die Funktion AcquireMagickMemory der Datei MagickWand/operation.c. Dank der Manipulation durch Null Value kann eine Denial of Service-Schwachstelle ausgenutzt werden.
Die Identifikation der Schwachstelle findet als CVE-2019-13296 statt. Ein Angriff ist aus der Distanz möglich. Es steht kein Exploit zur Verfügung.
Details
Eine problematische Schwachstelle wurde in ImageMagick 7.0.8-50 Q16 (Image Processing Software) gefunden. Es geht hierbei um die Funktion AcquireMagickMemory der Datei MagickWand/operation.c. Mit der Manipulation durch Null Value kann eine Denial of Service-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-399. Auswirkungen hat dies auf die Verfügbarkeit. Die Zusammenfassung von CVE lautet:
ImageMagick 7.0.8-50 Q16 has direct memory leaks in AcquireMagickMemory because of an error in CLIListOperatorImages in MagickWand/operation.c for a NULL value.Die Schwachstelle wurde am 05.07.2019 (Website) herausgegeben. Bereitgestellt wird das Advisory unter lists.opensuse.org. Die Verwundbarkeit wird seit dem 04.07.2019 mit der eindeutigen Identifikation CVE-2019-13296 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-137147, VDB-137143, VDB-137144 und VDB-137146. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Typ
Name
Version
Lizenz
Webseite
- Produkt: https://www.imagemagick.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 5.4
VulDB Base Score: 4.3
VulDB Temp Score: 4.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Patch: github.com
Timeline
04.07.2019 🔍05.07.2019 🔍
05.07.2019 🔍
17.10.2023 🔍
Quellen
Produkt: imagemagick.orgAdvisory: ce08a3691a8ac29125e29fc41967b3737fa3f425
Status: Nicht definiert
CVE: CVE-2019-13296 (🔍)
GCVE (CVE): GCVE-0-2019-13296
GCVE (VulDB): GCVE-100-137381
Siehe auch: 🔍
Eintrag
Erstellt: 05.07.2019 10:46Aktualisierung: 17.10.2023 15:58
Anpassungen: 05.07.2019 10:46 (56), 01.07.2020 16:43 (1), 17.10.2023 15:58 (4)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.