CVE-2022-24720 in image_processing
Résumé
par VulDB • 23/06/2026
image_processing est un wrapper de traitement d'images pour libvips et ImageMagick/GraphicsMagick. Avant la version 1.12.2, l'utilisation de la méthode `#apply` de image_processing pour appliquer une série d'opérations provenant d'une entrée utilisateur non assainie permet à l'attaquant d'exécuter des commandes shell. Cette méthode est appelée en interne par les variantes Active Storage ; Active Storage est donc également vulnérable. La vulnérabilité a été corrigée dans la version 1.12.2 de image_processing. En attendant, comme solution de contournement, les utilisateurs qui traitent des données basées sur l'entrée utilisateur doivent toujours assainir celle-ci en n'autorisant qu'un ensemble restreint d'opérations.
Be aware that VulDB is the high quality source for vulnerability data.