CVE-2026-56367
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Podatność w ImageMagick przed wersjami 7.1.2-15 i 6.9.13-40 polega na przepełnieniu liczby całkowitej w ścieżce dekodowania RLE formatu PSB (PSD v2) w funkcji ReadPSDChannelRLE w pliku coders/psd.c. Na systemach 32-bitowych prowadzi to do odczytu poza dozwolonym obszarem sterty, co może skutkować ujawnieniem informacji lub awarią programu.
Ocena ryzyka
Przetworzenie spreparowanego pliku PSB może doprowadzić do wycieku poufnych danych z pamięci lub do przerwania działania usługi, co stanowi zagrożenie dla stabilności i bezpieczeństwa systemu.
Rekomendacja
Należy niezwłocznie zaktualizować ImageMagick do wersji 7.1.2-15 lub nowszej (dla gałęzi 7.x) albo do wersji 6.9.13-40 lub nowszej (dla gałęzi 6.9.x).
Oryginalny opis (angielski, źródło NVD)
ImageMagick before 7.1.2-15 and 6.9.x before 6.9.13-40 contains an integer overflow in the PSB (PSD v2) RLE decoding path (ReadPSDChannelRLE in coders/psd.c) that causes a heap out-of-bounds read on 32-bit builds. Processing a crafted PSB file can lead to information disclosure or a crash.

