漏洞概述

ImageMagick 是一款用于编辑和处理数字图像的开源软件。在 14.10.1 及更早版本中，其 Magick Scripting Language（MSL）解析器在处理 标签时存在空指针解引用漏洞，可能导致拒绝服务（DoS）。该问题已在 14.10.2 版本中修复。

漏洞详情

• CVE 编号：CVE-2026-23952
• 漏洞类型：CWE-476（空指针解引用）
• CVSS 评分：6.5（中危）
• 影响版本：ImageMagick 14.10.1 及以下版本

影响范围

所有使用 ImageMagick 14.10.1 或更早版本、并启用了 MSL 脚本解析功能的系统或应用程序均可能受到影响。

风险分析

攻击者可构造恶意 MSL 脚本，在目标系统处理包含特定 标签的脚本时触发空指针解引用，导致程序崩溃，从而引发拒绝服务。在调试构建版本中表现为断言失败，在发布版本中则直接导致空指针解引用。该漏洞不涉及信息泄露或远程代码执行，但可能影响服务可用性。

修复建议

• 升级至 ImageMagick 官方发布的 14.10.2 或更高版本。
• 如无法立即升级，建议禁用 MSL 脚本解析功能，或限制对不可信 MSL 输入的处理。

参考链接

• GitHub 安全公告 GHSA-5vx3-wx4q-6cj8
• Magick.NET 14.10.2 发布说明