CVE-2026-25965 in ImageMagickinformazioni

Riassunto

di VulDB • 29/06/2026

ImageMagick è un software libero e open-source utilizzato per la modifica e la manipolazione di immagini digitali. Prima delle versioni 7.1.2-15 e 6.9.13-40, la policy di sicurezza dei percorsi (path security policy) in ImageMagick viene applicata alla stringa del nome file grezzo prima che il filesystem lo risolva. Di conseguenza, una regola della policy come /etc/* può essere aggirata mediante path traversal. Il sistema operativo risolve il percorso e apre il file sensibile, ma il matcher delle policy vede solo il percorso non normalizzato, consentendo quindi la lettura. Ciò consente la divulgazione di file locali (LFI) anche quando viene applicato il file policy-secure.xml. Nelle versioni 7.1.2-15 e 6.9.13-40 sono state intraprese azioni per impedire la lettura dai file; tuttavia, per assicurarsi che sia impedito anche l'accesso in scrittura, è necessario aggiungere quanto segue alla propria policy di configurazione. Questa modifica sarà inclusa nelle policy più sicure predefinite di ImageMagick.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

09/02/2026

Divulgazione

24/02/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00671

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!