Retour à la liste

ImageMagick: Infinite Loop in the MIFF decoder can lead to CPU exhaustion — CVE-2026-46522

GitHub · GitHub · CVE-2026-46522

ID
CVE-2026-46522

Date
2026-05-18

Activity
2026-05-18

Source
GitHub

Fournisseur
GitHub

Risque
high

CVSS
7.5

Résumé

Due to a missing check in the MIFF decoder a crafted file could cause an infinite loop resulting in CPU exhaustion.

Produit

nuget: Magick.NET-Q16-AnyCPU | nuget: Magick.NET-Q16-HDRI-AnyCPU | nuget: Magick.NET-Q16-HDRI-OpenMP-arm64 | nuget: Magick.NET-Q16-HDRI-OpenMP-x64 | nuget: Magick.NET-Q16-HDRI-arm64 | nuget: Magick.NET-Q16-HDRI-x64 | nuget: Magick.NET-Q16-HDRI-x86 | nuget: Magick.NET-Q16-OpenMP-arm64 | +10

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.

Avis officiel

Avis associés

GitHub GitHub 2026-W21

Angular Client Hydration DOM Clobbering & Response-Cache Poisoning

2026-06-15 CVE-2026-54267

highGitHub GitHub 2026-W25

aws-cdk-lib: OS Command Injection in NodejsFunction Bundling

2026-06-15 CVE-2026-11417

highGitHub GitHub 2026-W25

Netty susceptible to HTTP/2 Reset Attack with different on-the-wire signature

2026-06-15 CVE-2026-50560

mediumGitHub GitHub 2026-W25

Netty: HttpObjectDecoder skips arbitrary initial control characters when only initial CRLF characters are permitted

2026-06-15 CVE-2026-50020

mediumGitHub GitHub 2026-W25

Netty: Unbounded pre-allocation in RedisArrayAggregator from RESP array length

2026-06-15 CVE-2026-50011

highGitHub GitHub 2026-W25

Netty: Wrapping plain trust manager silently disables hostname verification

2026-06-15 CVE-2026-50010

highGitHub GitHub 2026-W25