← volver
CVE-2016-3715

CVE-2016-3715

CVSS 5.5 MEDIUMEPSS 75.4%● KEVCWE-552
En resumen

ImageMagick tenía una falla en el codificador EPHEMERAL que permitía a atacantes eliminar archivos del sistema al cargar una imagen manipulada. Esto es peligroso porque podría resultar en pérdida de datos importantes o inestabilidad del sistema.

Detalle técnico

El codificador EPHEMERAL en ImageMagick anterior a la versión 6.9.3-10 y 7.x anterior a 7.0.1-1 es vulnerable a la eliminación arbitraria de archivos mediante entrada de imagen maliciosa. Un atacante puede crear un archivo de imagen especialmente formateado que, cuando es procesado por el codificador vulnerable, resulta en la eliminación de archivos arbitrarios con los privilegios del proceso ImageMagick. Requiere que la aplicación procese archivos de imagen no confiables sin validación adecuada.

Resumen generado y traducido por IA a partir de la descripción oficial.
The EPHEMERAL coder in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allows remote attackers to delete arbitrary files via a crafted image.
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Productos afectados
n/a · n/a
PoCs públicas encontradas2
cve_referencewww.exploit-db.com/exploits/39767/no verificadoexploitdbwww.exploit-db.com/exploits/39767no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://git.imagemagick.org/repos/ImageMagick/blob/a01518e08c840577cabd7d3ff291a9ba735f7276/ChangeLoghttp://lists.opensuse.org/opensuse-security-announce/2016-05/msg00024.htmlhttp://lists.opensuse.org/opensuse-security-announce/2016-05/msg00025.htmlhttp://lists.opensuse.org/opensuse-security-announce/2016-05/msg00028.htmlhttp://lists.opensuse.org/opensuse-security-announce/2016-05/msg00032.htmlhttp://lists.opensuse.org/opensuse-security-announce/2016-05/msg00051.htmlhttp://rhn.redhat.com/errata/RHSA-2016-0726.htmlhttps://security.gentoo.org/glsa/201611-21https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2016-3715https://www.exploit-db.com/exploits/39767/https://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588https://www.imagemagick.org/script/changelog.php