CVE-2022-24720 in image_processingthông tin

Tóm tắt

Bởi VulDB • 23/06/2026

image_processing là một lớp bao (wrapper) xử lý hình ảnh dành cho libvips và ImageMagick/GraphicsMagick. Trước phiên bản 1.12.2, việc sử dụng phương thức `#apply` từ image_processing để áp dụng một chuỗi các thao tác dựa trên dữ liệu đầu vào của người dùng chưa được kiểm tra kỹ lưỡng (unsanitized) có thể cho phép kẻ tấn công thực thi lệnh shell. Phương thức này được gọi nội bộ bởi Active Storage variants, do đó Active Storage cũng bị ảnh hưởng bởi lỗ hổng bảo mật này. Lỗ hổng đã được khắc phục trong phiên bản 1.12.2 của image_processing. Như một biện pháp tạm thời (workaround), người dùng xử lý dữ liệu dựa trên đầu vào từ người dùng cần luôn kiểm tra kỹ lưỡng (sanitize) dữ liệu đó bằng cách chỉ cho phép một tập hợp các thao tác hạn chế.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub, Inc.

Đặt trước

10/02/2022

Tiết lộ

02/03/2022

Kiểm duyệt

được chấp nhận

EPSS

0.02595

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!