Размещено: Сегодня, 10:14
В пакетах ImageMagick и GraphicsMagick выявлена ещё одна опасная уязвимость (CVE-2016-5118), позволяющая выполнить произвольные команды shell при обработке специально оформленного имени файла. Проблема связана с передачей в вызов popen имени файла, без его проверки на наличие спецсимволов, что позволяет использовать модификатор "|". Передав вместо имени файла аргумент "|имя" можно выполнить произвольный код, например.
Подробнее...