Критическая уязвимость в ImageMagick угрожает серверам: удалённое выполнение кода без аутентификации

vulnerability

Специалисты по кибербезопасности обнаружили опасную ошибку, затронувшую популярный консольный графический редактор ImageMagick. Уязвимость получила идентификатор CVE-2026-25971 и зарегистрирована в Банке данных угроз безопасности информации (BDU) под номером BDU:2026-09435. Проблема уже подтверждена производителем, а её базовый рейтинг по шкале CVSS 3.1 составил 9,8 балла из 10 возможных. Это критический уровень опасности, который требует немедленного внимания от всех администраторов и специалистов по информационной безопасности.

Детали уязвимости

Причина уязвимости кроется в неконтролируемой рекурсии при обработке формата MSL. Речь идёт о языке разметки сценариев, который ImageMagick использует для описания сложных операций с изображениями. Злоумышленник может отправить на сервер специально подготовленный файл, содержащий вложенные рекурсивные вызовы. В результате программа тратит все доступные ресурсы системы, что приводит к отказу в обслуживании. Более того, ошибка в связке с некорректной обработкой границ буфера позволяет нарушителю выполнить произвольный код. Иными словами, атакующий получает полный контроль над сервером, где запущен уязвимый редактор.

Важно понимать, что ImageMagick - это не просто программа для домашнего использования. Библиотеки этого графического редактора встроены в тысячи веб-приложений, систем управления контентом и сервисов облачной обработки изображений. Многие сайты позволяют пользователям загружать фотографии и автоматически изменяют их размер или формат. Именно в таких сценариях уязвимость представляет наибольшую угрозу. Злоумышленнику не требуется никакая аутентификация или права доступа. Достаточно отправить вредоносный файл через форму загрузки, и сервер окажется скомпрометирован.

Под удар попали все версии ImageMagick до 7.1.2-15 и до 6.9.13-40 включительно. Кроме того, проблема затрагивает операционные системы Debian GNU/Linux версий 11, 12 и 13. Разработчики Debian уже выпустили соответствующие обновления безопасности. Отдельного внимания заслуживает тот факт, что уязвимость подтверждена и для продуктов российского вендора "Лаборатория ИнфоВотч". Речь идёт о программном комплексе InfoWatch Traffic Monitor версии 7.9. Это средство защиты корпоративной сети, которое контролирует трафик и предотвращает утечки данных. Наличие уязвимости в таком продукте создаёт дополнительные риски для предприятий, использующих решения InfoWatch.

Между тем специалисты отмечают интересную особенность данной уязвимости. Ошибка классифицируется сразу по двум категориям CWE. Первая - это неконтролируемая рекурсия (CWE-674). Вторая - запись за границами буфера (CWE-787). Комбинация этих двух проблем делает эксплуатацию особенно опасной. Рекурсия позволяет исчерпать ресурсы системы, а выход за границы буфера даёт возможность перезаписать критически важные области памяти и внедрить произвольный код. По сути, злоумышленник может использовать два различных вектора атаки: один для нарушения доступности сервиса, второй - для полного захвата контроля над системой.

Следует подчеркнуть, что на момент публикации новости данные о готовом эксплойте отсутствуют. Однако это не повод расслабляться. Уязвимость в ImageMagick привлекает внимание исследователей по всему миру. Как показывает практика, после публичного раскрытия деталей ошибки первые рабочие эксплойты появляются в течение нескольких дней или даже часов. Компании и системные администраторы должны действовать на опережение.

Что касается способов устранения, то ситуация здесь достаточно прозрачная. Для пользователей ImageMagick необходимо обновить программу до актуальных версий 7.1.2-15 или 6.9.13-40 соответственно. Следует отметить, что эти версии уже содержат исправления, закрывающие неконтролируемую рекурсию и ошибку записи за границы буфера. Для операционных систем Debian GNU/Linux рекомендуется установить пакеты безопасности, указанные в трекере CVE-2026-25971 на официальном сайте проекта. Для клиентов InfoWatch Traffic Monitor производитель выпустил "Оперативное обновление 1" для версии 7.9. Все необходимые ссылки на источники с обновлениями приведены в описании уязвимости в BDU.

В итоге можно сказать, что данная уязвимость представляет собой классический пример опасной ошибки в широко используемом программном обеспечении. ImageMagick существует уже много лет и считается надёжным инструментом. Однако даже зрелые проекты могут содержать критические дефекты. Особую тревогу вызывает то, что уязвимость затрагивает не только открытые системы, но и коммерческие продукты российских разработчиков. Это напоминание о том, что безопасность цепочки поставки программного обеспечения требует постоянного внимания.

Для специалистов по защите информации сейчас главная задача - оперативно провести инвентаризацию систем, где используется ImageMagick, и установить обновления. Также стоит проверить, не затронуты ли внутренние корпоративные сервисы, которые могут обрабатывать изображения через этот инструмент. Рекомендуется временно отключить поддержку формата MSL в конфигурации ImageMagick, если обновление по каким-то причинам нельзя установить немедленно. Это снизит риск эксплуатации, хотя и не устранит его полностью.

Несмотря на то что уязвимость уже устранена производителем, история с CVE-2026-25971 - это ещё один звоночек для индустрии. Кажущиеся безобидные компоненты инфраструктуры могут стать точкой входа для серьёзной атаки. ImageMagick используется повсеместно, и на его примере хорошо видно, как одна ошибка в коде ставит под угрозу тысячи организаций по всему миру.

Ссылки

Комментарии: 0