← voltar
CVE-2016-3715

CVE-2016-3715

CVSS 5.5 MEDIUMEPSS 75.4%● KEVCWE-552
Em resumo

O ImageMagick tinha uma falha no codificador EPHEMERAL que permitia a invasores deletar arquivos no sistema ao enviar uma imagem manipulada. Isso é perigoso porque pode resultar em perda de dados importantes ou instabilidade do sistema.

Detalhe técnico

O codificador EPHEMERAL no ImageMagick anterior à versão 6.9.3-10 e 7.x anterior à 7.0.1-1 é vulnerável à exclusão arbitrária de arquivos via entrada de imagem maliciosa. Um atacante pode criar um arquivo de imagem especialmente formatado que, quando processado pelo codificador vulnerável, resulta na exclusão de arquivos arbitrários com os privilégios do processo ImageMagick. Requer que a aplicação processe arquivos de imagem não confiáveis sem validação adequada.

Resumo gerado e traduzido por IA a partir da descrição oficial.
The EPHEMERAL coder in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allows remote attackers to delete arbitrary files via a crafted image.
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Produtos afetados
n/a · n/a
PoCs públicas encontradas2
cve_referencewww.exploit-db.com/exploits/39767/não verificadoexploitdbwww.exploit-db.com/exploits/39767não verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://git.imagemagick.org/repos/ImageMagick/blob/a01518e08c840577cabd7d3ff291a9ba735f7276/ChangeLoghttp://lists.opensuse.org/opensuse-security-announce/2016-05/msg00024.htmlhttp://lists.opensuse.org/opensuse-security-announce/2016-05/msg00025.htmlhttp://lists.opensuse.org/opensuse-security-announce/2016-05/msg00028.htmlhttp://lists.opensuse.org/opensuse-security-announce/2016-05/msg00032.htmlhttp://lists.opensuse.org/opensuse-security-announce/2016-05/msg00051.htmlhttp://rhn.redhat.com/errata/RHSA-2016-0726.htmlhttps://security.gentoo.org/glsa/201611-21https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2016-3715https://www.exploit-db.com/exploits/39767/https://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588https://www.imagemagick.org/script/changelog.php