Wiz
Banco de Dados de VulnerabilidadesCVE-2025-62594

CVE-2025-62594
C# Análise e mitigação de vulnerabilidades

Visão geral

ImageMagick versions prior to 7.1.2-8 are vulnerable to denial-of-service due to unsigned integer underflow and division-by-zero in the CLAHEImage function. The vulnerability (CVE-2025-62594) was discovered and disclosed on October 27, 2025, affecting the image processing software suite used to create, edit, compose, or convert bitmap images. When tile width or height is zero, unsigned underflow occurs in pointer arithmetic, leading to out-of-bounds memory access, and division-by-zero causes immediate crashes (GitHub Advisory, NVD).

Detalhes técnicos

The vulnerability exists in the CLAHEImage() function of ImageMagick's MagickCore/enhance.c. There are two distinct but related unsafe behaviors stemming from the same root cause: 1) An unsigned integer underflow occurs when tileinfo.height is zero, causing the expression tileinfo.height - 1 to wrap to UINTMAX, leading to out-of-bounds pointer arithmetic, and 2) Division-by-zero occurs when either tileinfo.width or tile_info.height is zero during modulus operations. The vulnerability has a CVSS v3.1 base score of 5.5 (MEDIUM) with vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H (NVD, GitHub Advisory).

Impacto

The primary impact is a Denial-of-Service condition through either immediate process crashes or sustained resource exhaustion. When exploited, the vulnerability can cause significant memory consumption, memory region corruption, and process crashes. The issue can be triggered via CLI using 'clahe 0x0!' or by uploading very small images to services using ImageMagick. While theoretical secondary impacts include potential memory corruption, no reliable code execution has been demonstrated (GitHub Advisory).

Mitigação e soluções alternativas

The vulnerability has been patched in ImageMagick version 7.1.2-8. The fix includes input validation and bounds checks after computing default tile dimensions, ensuring that tile width and height cannot be zero. The patch also includes proper handling of exact tiles requests and automatic tile derivation (GitHub Advisory, NVD).

Recursos adicionais

OrigemEste relatório foi gerado usando IA

Relacionado C# Vulnerabilidades:

CVE ID

Gravidade

Pontuação

Tecnologias

Nome do componente

Exploração do CISA KEV

Tem correção

Data de publicação

CVE-2025-64095CRITICAL9.8
  • C#C#
  • DNN.PLATFORM
NãoSimOct 28, 2025
CVE-2025-62594MEDIUM5.5
  • C#C#
  • ImageMagick-config-7-upstream
NãoSimOct 27, 2025
CVE-2025-64094MEDIUM5.4
  • C#C#
  • DotNetNuke.Core
NãoSimOct 28, 2025
CVE-2025-65955MEDIUM4.9
  • C#C#
  • Magick.NET-Q16-HDRI-x64
NãoSimDec 02, 2025
CVE-2025-62802MEDIUM4.3
  • C#C#
  • Dnn.Platform
NãoSimOct 28, 2025

Avaliação de vulnerabilidade gratuita

Compare sua postura de segurança na nuvem

Avalie suas práticas de segurança na nuvem em 9 domínios de segurança para comparar seu nível de risco e identificar lacunas em suas defesas.

Solicitar avaliação

Recursos adicionais da Wiz

PEACH

PEACH

Uma estrutura de isolamento de inquilino

Marque uma demonstração personalizada

Pronto para ver a Wiz em ação?

"A melhor experiência do usuário que eu já vi, fornece visibilidade total para cargas de trabalho na nuvem."
David EstlickCISO
"A Wiz fornece um único painel de vidro para ver o que está acontecendo em nossos ambientes de nuvem."
Adão FletcherDiretor de Segurança
"Sabemos que se a Wiz identifica algo como crítico, na verdade é."
Greg PoniatowskiChefe de Gerenciamento de Ameaças e Vulnerabilidades
Ver demonstração