CVE-2022-24720 in image_processinginformation

Résumé

par VulDB • 23/06/2026

image_processing est un wrapper de traitement d'images pour libvips et ImageMagick/GraphicsMagick. Avant la version 1.12.2, l'utilisation de la méthode `#apply` de image_processing pour appliquer une série d'opérations provenant d'une entrée utilisateur non assainie permet à l'attaquant d'exécuter des commandes shell. Cette méthode est appelée en interne par les variantes Active Storage ; Active Storage est donc également vulnérable. La vulnérabilité a été corrigée dans la version 1.12.2 de image_processing. En attendant, comme solution de contournement, les utilisateurs qui traitent des données basées sur l'entrée utilisateur doivent toujours assainir celle-ci en n'autorisant qu'un ensemble restreint d'opérations.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub, Inc.

Réserver

10/02/2022

Divulgation

02/03/2022

Modérer

accepté

Entrée

VDB-194030

CPE

prêt

EPSS

0.02595

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!