検出

ImageMagick < 6.9.13-27/7.0 < 7.1.2-1 の複数の脆弱性 (GHSA-qp29-wxp5-wh82/GHSA-6hgw-6x87-578x)

high Nessus プラグイン ID 258077

Language:

概要

リモートホストに、複数の脆弱性の影響を受けるアプリケーションがインストールされています。

説明

リモートホストには、バージョンが 6.9.13-27 より前、7.1.2-1 より前の 7.0 の ImageMagick がインストールされています。したがって、GHSA-qp29-wxp5-wh82/GHSA-6hgw-6x87-578x のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - ImageMagick は、デジタル画像の編集と操作に使用される無料のオープンソースソフトウェアです。バージョン 6.9.13-27 および 7.1.2-1より前では、ReadOneMNGIMage (coders/png.c 内) の拡大サイズ計算は安全ではなく、オーバーフローを引き起こし、メモリ破損が発生する可能性があります。この問題には、バージョン 6.9.13-27および 7.1.2-1でパッチが適用されています。(CVE-2025-55154)

 - ImageMagick は、デジタル画像の編集と操作に使用される無料のオープンソースソフトウェアです。バージョン 6.9.13-27 および 7.1.2-1より前のバージョンには、spray ツリー複製コールバックに未定義の動作 (function-type-mismatch) があります。これにより、UBSan での決定性のある中止 (サニタイザービルドでは DoS) が発生し、サニタイズされていないビルドではクラッシュが発生しません。この問題には、バージョン 6.9.13-27および 7.1.2-1でパッチが適用されています。(CVE-2025-55160)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

ImageMagick をバージョン 6.9.13-27、7.1.2-1 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?5fc3aa57

http://www.nessus.org/u?91273a4e

http://www.nessus.org/u?262ecca5

プラグインの詳細

深刻度: High

ID: 258077

ファイル名: imagemagick_7_1_2_1.nasl

バージョン: 1.2

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2025/8/28

更新日: 2025/8/29

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-55154

CVSS v3

リスクファクター: High

基本値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

脆弱性情報

CPE: cpe:/a:imagemagick:imagemagick

必要な KB アイテム: installed_sw/ImageMagick

パッチ公開日: 2025/8/11

脆弱性公開日: 2025/8/11

参照情報

CVE: CVE-2025-55154, CVE-2025-55160

IAVB: 2025-B-0145