CVE-2022-44268 ayaa lagu aqoonsaday xirmada ImageMagick, taas oo inta badan loo isticmaalo horumarinta webka si ay u beddelaan sawirada, taas oo u horseedi karta fayl-galka nuxurka haddii sawirada PNG ee uu diyaariyay weeraryahan loo beddelo iyadoo la adeegsanayo ImageMagick. Nuglaanta waxay saamaysaa nidaamyada ka shaqeeya sawirada dibadda ka dibna u oggolaanaya natiijada beddelka in la raro.
Nuglaanta waxaa sababa xaqiiqda ah in marka la shaqeynayo sawirka PNG, ImageMagick waxay isticmaashaa waxyaabaha ku jira "profile" ee xuduudaha metadata si loo go'aamiyo magaca faylka profile ee ku jira faylka natiijada. Sidaa darteed, weerarka, waa ku filan in lagu daro "profile" cabbirka sawirka PNG oo leh dariiqa faylalka lagama maarmaanka ah (tusaale, "/ iwm/passwd") iyo marka sawirkaas la samaynayo, tusaale ahaan, marka dib loo habeynayo sawirka. , waxa ku jira faylka loo baahan yahay waxaa lagu dari doonaa faylka wax soo saarka . Haddii aad qeexdo "-" halkii aad ka ahaan lahayd magaca fayl, markaa gacan-qabeeyaha ayaa sugi doona sugitaanka socodka qulqulka caadiga ah, kaas oo loo isticmaali karo in lagu fuliyo adeegga diidmada (CVE-2022-44267).
Cusboonaysiinta hagaajinta nuglaanta weli lama sii dayn, laakiin horumariyeyaasha ImageMagick waxay ku taliyeen in sidii xal loogu heli lahaa in la xakameeyo daadinta, abuuraan qaanuun ku jira goobaha xaddidaya gelitaanka waddooyinka faylalka qaarkood. Tusaale ahaan, si loo diido gelitaanka dariiqyada qaraabada ah ee policy.xml, waxaad ku dari kartaa:
Qoraal loogu talagalay soo saarista sawirada PNG ee ka faa'iidaysanaysa nuglaanta ayaa mar hore la dhex galiyay goobta dadweynaha.
Source: opennet.ru