Los investigadores de seguridad han descubierto cuatro vulnerabilidades serias en ImageMagick, una de las suites de software de procesamiento de imágenes de código abierto más utilizados del mundo, que potencialmente expone a millones de usuarios a los riesgos de seguridad.
Las vulnerabilidades, descubiertas por el investigador “Urban-Warrior” y publicado hace tres días, incluyen dos defectos de alta severidad que podrían permitir a los atacantes ejecutar código malicioso a través de archivos de imagen especialmente diseñados.
Los desarrolladores de ImageMagick ya han publicado parches que abordan estos problemas, pero se insta a las organizaciones y usuarios individuales a actualizar sus instalaciones de inmediato para evitar una posible explotación.
Las vulnerabilidades más severas se centran en el manejo de ImageMagick del formato de archivo MNG (gráficos de red de imágenes múltiples), específicamente en la funcionalidad de aumento de imagen.
Fallas de corrupción de memoria crítica
El primer defecto crítico, rastreado como CVE-2025-55154 Con el identificador interno BigSleep-435153105, involucra vulnerabilidades de desbordamiento entero en los cálculos de aumento de MNG.
Al procesar archivos MNG de forma maliciosa, el software realiza cálculos inseguros que pueden desbordarse, lo que lleva a la corrupción de la memoria y la posible ejecución del código.
La vulnerabilidad ocurre en la función ReadonEmngimage dentro del archivo Coders/PNG.C, donde los cálculos de tamaño magnificados utilizan enteros sin signo de 32 bits que pueden desbordarse al procesar imágenes con grandes dimensiones.
Este desbordamiento hace que el software asigne buffers de memoria insuficientes mientras usa los parámetros originales y más grandes para las operaciones de aumento, lo que resulta en escrituras fuera de los límites para acumular la memoria con datos controlados.
Una segunda vulnerabilidad de alta severidad, CVE-2025-55004 (BigSleep-436829309), afecta la misma funcionalidad de aumento, pero se dirige específicamente a las imágenes con canales alfa.
Este defecto crea condiciones de desbordamiento del búfer de montón cuando ImageMagick procesa archivos MNG que contienen datos de canal alfa separados, lo que puede permitir que los atacantes filtren el contenido de la memoria en imágenes de salida o sean bloqueos de aplicaciones.
Las vulnerabilidades descubiertas explotan las debilidades fundamentales en los sistemas de gestión de memoria y validación de entrada de ImageMagick. Las características técnicas clave de estos defectos incluyen:
Explotación del desbordamiento de enteros: requiere imágenes con dimensiones que se acercan a 65,535 píxeles, generalmente impedidas por las políticas de seguridad predeterminadas que limitan las dimensiones a 8,000 píxeles. Bypass Alpha Channel: se puede activar sin violar las políticas de seguridad estándar, por lo que es particularmente peligroso para los entornos de producción. No coincidencia de asignación de memoria: crea discrepancias entre los tamaños de búfer asignados y los requisitos de procesamiento reales. Corrupción del búfer de Heap: habilita las escrituras de memoria fuera de los límites con datos controlados por el atacante.
La vulnerabilidad del canal alfa presenta un vector de ataque particularmente preocupante porque puede activarse sin violar las políticas de seguridad estándar.
La falla ocurre cuando ImageMagick actualiza los metadatos de la imagen para incluir información del canal alfa después de calcular inicialmente los tamaños de búfer, creando un desajuste entre la memoria asignada y los requisitos reales durante las operaciones de procesamiento posteriores.
Dos vulnerabilidades adicionales de severidad moderada agravan las preocupaciones de seguridad. CVE-2025-55005 (BigSleep-435156754) Afecta el manejo del espacio de los colores del registro, donde la validación inadecuada de los valores de color negro de referencia y blanco de referencia puede causar desbordamientos del búfer de montón cuando estos valores exceden 1024.
La cuarta vulnerabilidad, CVE-2025-55160implica un comportamiento indefinido en la función ClonesPlayTree, lo que podría conducir a bloqueos de aplicaciones en compilaciones habilitadas para desinfectantes.
Parches y recomendaciones
Los desarrolladores de ImageMagick han respondido rápidamente a estos descubrimientos, lanzando versiones parchadas que abordan todas las vulnerabilidades identificadas.
Los usuarios de ImageMagick 7.x deben actualizarse a la versión 7.1.2-1 o posterior, mientras que aquellos que usan la rama Legacy 6.x deben actualizarse a la versión 6.9.13-27 o más.
Los parches implementan la verificación adecuada de los límites, corrigen los cálculos de asignación de memoria y resuelven los desajustes de tipo de puntero de función que habilitaron estas vulnerabilidades.
Las organizaciones que dependen de ImageMagick para aplicaciones web, sistemas de administración de contenido o flujos de trabajo de procesamiento de imágenes automatizados deben priorizar estas actualizaciones de inmediato.
El vector de ataque basado en la red de las vulnerabilidades primarias, combinado con sus puntajes CVSS altos que van desde 8.8 a 9.8, indica que la explotación exitosa podría conducir a un compromiso completo del sistema.
Los administradores de seguridad también deben revisar sus políticas de seguridad de ImageMagick, asegurando que los límites apropiados permanezcan en su lugar para las dimensiones de imágenes, los tamaños de archivos y los formatos compatibles.
Si bien la política de seguridad de WebSAFE bloquearía algunas de estas vulnerabilidades, la falla del canal alfa demuestra que las políticas restrictivas por sí solas no pueden proporcionar una protección completa.
El descubrimiento de estas vulnerabilidades resalta los desafíos de seguridad continuos que enfrentan un software de código abierto ampliamente desplegado, particularmente herramientas que procesan la entrada no confiable de fuentes externas.
La auditoría de seguridad regular y la implementación de parches rápidos siguen siendo componentes esenciales para mantener infraestructuras seguras de procesamiento de imágenes.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
