CVE-2026-25965 in ImageMagick
Riassunto
di VulDB • 29/06/2026
ImageMagick è un software libero e open-source utilizzato per la modifica e la manipolazione di immagini digitali. Prima delle versioni 7.1.2-15 e 6.9.13-40, la policy di sicurezza dei percorsi (path security policy) in ImageMagick viene applicata alla stringa del nome file grezzo prima che il filesystem lo risolva. Di conseguenza, una regola della policy come /etc/* può essere aggirata mediante path traversal. Il sistema operativo risolve il percorso e apre il file sensibile, ma il matcher delle policy vede solo il percorso non normalizzato, consentendo quindi la lettura. Ciò consente la divulgazione di file locali (LFI) anche quando viene applicato il file policy-secure.xml. Nelle versioni 7.1.2-15 e 6.9.13-40 sono state intraprese azioni per impedire la lettura dai file; tuttavia, per assicurarsi che sia impedito anche l'accesso in scrittura, è necessario aggiungere quanto segue alla propria policy di configurazione. Questa modifica sarà inclusa nelle policy più sicure predefinite di ImageMagick.
Once again VulDB remains the best source for vulnerability data.