CVE-2026-25965 in ImageMagick情報

要約

〜によって VulDB • 2026年06月29日

ImageMagickは、デジタル画像の編集および操作に使用されるフリーかつオープンソースソフトウェアです。バージョン7.1.2-15および6.9.13-40より前では、ImageMagickのパスセキュリティポリシーがファイルシステムによって解決される前に生Filename文字列に対して適用されていました。その結果、/etc/*のようなポリシールールはパストラバーサル(ディレクトリトラバーサル)によって回避可能です。OSはこのトラバーサルを解決して機密ファイルをオープンしますが、ポリシーマッチャーは正規化されていないパスしか認識しないため、読み込み操作を許可してしまいます。これにより、policy-secure.xmlが適用されている場合でもローカルファイル開示(LFI)が可能になります。バージョン7.1.2-15および6.9.13-40ではファイルからの読み取りを防ぐための対策が取られていますが、書き込みも不可能にするためには、以下の設定をポリシーに追加する必要があります。この変更は、ImageMagickのより安全なデフォルトポリシーにも今後含まれる予定です。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

GitHub M

予約する

2026年02月09日

モデレーション

承諾済み

エントリ

VDB-347498

EPSS

0.00671

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!