【高危漏洞】CVE-2026-23876:ImageMagick XBM 解码器堆缓冲区溢出漏洞
漏洞概述
ImageMagick 是一款广泛使用的开源图像处理软件,支持多种图像格式的编辑与转换。在版本 7.1.2-13 和 6.9.13-38 之前,其 XBM 图像解码器(ReadXBMImage)中存在一个堆缓冲区溢出漏洞。攻击者可通过构造恶意 XBM 图像文件,在目标系统处理该图像时触发堆溢出,从而实现远程代码执行或导致服务崩溃。由于该漏洞可在无用户交互的情况下被触发,常见于图像上传和处理流程,因此具有较高的安全风险。
漏洞详情
- CVE 编号:CVE-2026-23876
- 漏洞类型:堆缓冲区溢出(CWE-122、CWE-190)
- CVSS 评分:8.1(HIGH)
向量:CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H - 影响版本:ImageMagick < 7.1.2-13 及 < 6.9.13-38
影响范围
所有使用受影响版本 ImageMagick 的系统或应用,特别是那些允许用户上传或处理外部图像文件的服务(如 Web 应用、内容管理系统、图像处理 API 等),均可能受到此漏洞影响。
风险分析
该漏洞允许攻击者通过上传特制的 XBM 图像文件,触发堆缓冲区溢出,进而可能实现任意代码执行、权限提升、信息泄露或拒绝服务。由于无需用户交互且可通过网络远程利用,若部署在公网上且未打补丁,将构成严重安全威胁。
修复建议
- 立即升级 ImageMagick 至安全版本:7.1.2-13 或 6.9.13-38 及以上。
- 如无法立即升级,建议临时禁用对 XBM 格式的支持,或在图像处理前对上传文件进行严格格式校验与沙箱隔离。
