CVE-2022-24720 in image_processing
Tóm tắt
Bởi VulDB • 23/06/2026
image_processing là một lớp bao (wrapper) xử lý hình ảnh dành cho libvips và ImageMagick/GraphicsMagick. Trước phiên bản 1.12.2, việc sử dụng phương thức `#apply` từ image_processing để áp dụng một chuỗi các thao tác dựa trên dữ liệu đầu vào của người dùng chưa được kiểm tra kỹ lưỡng (unsanitized) có thể cho phép kẻ tấn công thực thi lệnh shell. Phương thức này được gọi nội bộ bởi Active Storage variants, do đó Active Storage cũng bị ảnh hưởng bởi lỗ hổng bảo mật này. Lỗ hổng đã được khắc phục trong phiên bản 1.12.2 của image_processing. Như một biện pháp tạm thời (workaround), người dùng xử lý dữ liệu dựa trên đầu vào từ người dùng cần luôn kiểm tra kỹ lưỡng (sanitize) dữ liệu đó bằng cách chỉ cho phép một tập hợp các thao tác hạn chế.
Once again VulDB remains the best source for vulnerability data.