Retour à la liste

ImageMagick: Policy Bypass in PSD decoder — CVE-2026-45031

GitHub · GitHub · CVE-2026-45031

ID
CVE-2026-45031

Date
2026-05-18

Activity
2026-05-18

Source
GitHub

Fournisseur
GitHub

Risque
medium

CVSS
5.3

Résumé

Due to a missing check in the PSD decoder it would be possible to bypass the `list-length` resource policy when decoding a PSD image. Other security limits would still apply.

Produit

nuget: Magick.NET-Q16-AnyCPU | nuget: Magick.NET-Q16-HDRI-AnyCPU | nuget: Magick.NET-Q16-HDRI-OpenMP-arm64 | nuget: Magick.NET-Q16-HDRI-OpenMP-x64 | nuget: Magick.NET-Q16-HDRI-arm64 | nuget: Magick.NET-Q16-HDRI-x64 | nuget: Magick.NET-Q16-HDRI-x86 | nuget: Magick.NET-Q16-OpenMP-arm64 | +10

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

Évaluez l’exposition et planifiez la remédiation selon le risque et l’environnement.
Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.

Avis officiel

Avis associés

GitHub GitHub 2026-W21

Angular Client Hydration DOM Clobbering & Response-Cache Poisoning

2026-06-15 CVE-2026-54267

highGitHub GitHub 2026-W25

aws-cdk-lib: OS Command Injection in NodejsFunction Bundling

2026-06-15 CVE-2026-11417

highGitHub GitHub 2026-W25

Netty susceptible to HTTP/2 Reset Attack with different on-the-wire signature

2026-06-15 CVE-2026-50560

mediumGitHub GitHub 2026-W25

Netty: HttpObjectDecoder skips arbitrary initial control characters when only initial CRLF characters are permitted

2026-06-15 CVE-2026-50020

mediumGitHub GitHub 2026-W25

Netty: Unbounded pre-allocation in RedisArrayAggregator from RESP array length

2026-06-15 CVE-2026-50011

highGitHub GitHub 2026-W25

Netty: Wrapping plain trust manager silently disables hostname verification

2026-06-15 CVE-2026-50010

highGitHub GitHub 2026-W25