ImageMagick - CVE-2026-24481
Date de publication :
ImageMagick est une suite logicielle libre et open source utilisée pour convertir, traiter et manipuler des images (en ligne de commande et via bibliothèques), supportant de nombreux formats dont PSD.
Une vulnérabilité dans ImageMagick, au sein du gestionnaire du format PSD (Adobe Photoshop), lors du traitement de données de calques compressées en ZIP.
Un fichier PSD spécialement conçu peut contenir des données dont la décompression produit une taille inférieure à la taille attendue par le parseur. Dans ce cas, une partie de la mémoire du tas non initialisée peut être recopiée dans l’image de sortie lors de la génération du rendu, ce qui provoque une divulgation d’informations depuis la mémoire du processus (potentiellement des fragments de données sensibles présentes en mémoire au moment du traitement).
Elle permet une atteinte à la confidentialité des données.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Atteinte à la confidentialité des données
Exploitation
CWE-125 : Out-of-bounds Read
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• ImageMagick versions antérieures à 7.1.2-15
• ImageMagick versions antérieures à 6.9.13-40 (branche “legacy”, recommandation de migrer vers ImageMagick 7)
Solutions ou recommandations
• ImageMagick versions 6.9.13-40 et supérieures.