通知公告

关于ImageMagick任意文件读取漏洞的预警通报
发布日期:2023-02-02 17:27 浏览量:

ImageMagick组件存在任意文件读取漏洞,漏洞编号:CVE-2022-44268,漏洞威胁等级:高危。该漏洞是由于解析PNG图像时代码处理不当,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行文件读取攻击,最终造成服务器敏感性信息泄露。

ImageMagick是一个免费、开源的创建、编辑、合成图片的工具集和开发包,是Linux生态下较流行的图片处理工具之一,多种上层应用使用ImageMagick作为其组成部分。

(一)漏洞影响范围:

目前受影响的ImageMagick版本:

ImageMagick 7.1.x ≤ 7.1.0-51

ImageMagick 7.0.x

ImageMagick 6.9.x

6.8.3-10 ≤ ImageMagick 6.8.x ≤ 6.8.9-10

(二)漏洞修复建议:

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://github.com/ImageMagick/ImageMagick