Katalog CVE

CVE-2026-56364

NiskieCVSS 1.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

Podatność w ImageMagick przed wersją 7.1.2-13 powoduje wyciek pamięci w funkcji LoadOpenCLDeviceBenchmark() podczas parsowania nieprawidłowo sformatowanych plików XML profilu urządzenia OpenCL z niezamkniętymi elementami urządzenia. Atakujący z dostępem do zapisu w katalogu pamięci podręcznej OpenCL mogą umieścić złośliwe pliki XML, co prowadzi do wyczerpania pamięci i odmowy usługi.

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia ataku DoS poprzez wyczerpanie pamięci systemowej, co może zakłócić działanie aplikacji korzystających z ImageMagick do przetwarzania obrazów. Atak wymaga dostępu do zapisu w katalogu cache OpenCL, co ogranicza wektor ataku, ale w środowiskach współdzielonych może być realnym zagrożeniem.

Rekomendacja

Należy niezwłocznie zaktualizować ImageMagick do wersji 7.1.2-13 lub nowszej. Dodatkowo warto ograniczyć uprawnienia zapisu do katalogu pamięci podręcznej OpenCL tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

ImageMagick before 7.1.2-13 contains a memory leak vulnerability in LoadOpenCLDeviceBenchmark() function when parsing malformed OpenCL device profile XML files with unclosed device elements. Attackers with write access to the OpenCL cache directory can place malicious XML files to exhaust memory and cause denial of service.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS