CVE-2026-56364
NiskieCVSS 1.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
Podatność w ImageMagick przed wersją 7.1.2-13 powoduje wyciek pamięci w funkcji LoadOpenCLDeviceBenchmark() podczas parsowania nieprawidłowo sformatowanych plików XML profilu urządzenia OpenCL z niezamkniętymi elementami urządzenia. Atakujący z dostępem do zapisu w katalogu pamięci podręcznej OpenCL mogą umieścić złośliwe pliki XML, co prowadzi do wyczerpania pamięci i odmowy usługi.
Ocena ryzyka
Ryzyko polega na możliwości przeprowadzenia ataku DoS poprzez wyczerpanie pamięci systemowej, co może zakłócić działanie aplikacji korzystających z ImageMagick do przetwarzania obrazów. Atak wymaga dostępu do zapisu w katalogu cache OpenCL, co ogranicza wektor ataku, ale w środowiskach współdzielonych może być realnym zagrożeniem.
Rekomendacja
Należy niezwłocznie zaktualizować ImageMagick do wersji 7.1.2-13 lub nowszej. Dodatkowo warto ograniczyć uprawnienia zapisu do katalogu pamięci podręcznej OpenCL tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
ImageMagick before 7.1.2-13 contains a memory leak vulnerability in LoadOpenCLDeviceBenchmark() function when parsing malformed OpenCL device profile XML files with unclosed device elements. Attackers with write access to the OpenCL cache directory can place malicious XML files to exhaust memory and cause denial of service.

