CVE-2026-56379
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 64 — wyżej niż 64% wszystkich znanych CVE
Streszczenie
Podatność w ImageMagick przed wersjami 7.1.2-15 i 6.9.13-40 umożliwia wstrzykiwanie poleceń w dekoderze SVG. Atakujący mogą stworzyć złośliwe pliki SVG z wstrzykniętymi komendami Magick Vector Graphics, które wykonują się podczas renderowania.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego wykonania dowolnych poleceń przez atakującego, co może prowadzić do przejęcia kontroli nad serwerem lub aplikacją przetwarzającą obrazy.
Rekomendacja
Należy natychmiast zaktualizować ImageMagick do wersji 7.1.2-15 lub nowszej (dla gałęzi 7) oraz 6.9.13-40 lub nowszej (dla gałęzi 6).
Oryginalny opis (angielski, źródło NVD)
ImageMagick before 7.1.2-15 and 6.9.13-40 contains a command injection vulnerability in the SVG decoder that allows attackers to inject arbitrary MVG drawing commands. Attackers can craft malicious SVG files with injected Magick Vector Graphics commands that execute during rendering.

