exploitDog

GHSA-g2pr-qxjg-7r2w

Опубликовано: 24 фев. 2026

Источник: github

Github: Прошло ревью

CVSS3: 5.3

Описание

ImageMagick has memory leak of watermark Image object in ReadSTEGANOImage on multiple error/early-return paths

Summary

In ReadSTEGANOImage() (coders/stegano.c), the watermark Image object is not freed on three early-return paths, resulting in a definite memory leak (~13.5KB+ per invocation) that can be exploited for denial of service.

Direct leak of 13512 byte(s) in 1 object(s) allocated from: #0 0x7f5c11e27887 in __interceptor_malloc ../../../../src/libsanitizer/asan/asan_malloc_linux.cpp:145 #1 0x55cdc38f65c4 in AcquireMagickMemory MagickCore/memory.c:536 #2 0x55cdc38f65eb in AcquireCriticalMemory MagickCore/memory.c:612 #3 0x55cdc3899e91 in AcquireImage MagickCore/image.c:154

Ссылки

Пакеты

Наименование

Magick.NET-Q16-AnyCPU

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

Наименование

Magick.NET-Q16-HDRI-AnyCPU

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

Наименование

Magick.NET-Q16-HDRI-OpenMP-arm64

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

Наименование

Magick.NET-Q16-HDRI-OpenMP-x64

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

Наименование

Magick.NET-Q16-HDRI-arm64

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

Наименование

Magick.NET-Q16-HDRI-x64

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

Наименование

Magick.NET-Q16-HDRI-x86

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

Наименование

Magick.NET-Q16-OpenMP-arm64

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

Наименование

Magick.NET-Q16-OpenMP-x64

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

Наименование

Magick.NET-Q16-OpenMP-x86

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

Наименование

Magick.NET-Q16-arm64

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

Наименование

Magick.NET-Q16-x64

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

Наименование

Magick.NET-Q16-x86

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

Наименование

Magick.NET-Q8-AnyCPU

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

Наименование

Magick.NET-Q8-OpenMP-arm64

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

Наименование

Magick.NET-Q8-arm64

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

Наименование

Magick.NET-Q8-x64

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

Наименование

Magick.NET-Q8-x86

nuget

Затронутые версииВерсия исправления

< 14.10.3

14.10.3

EPSS

Процентиль: 17%

0.00055

Низкий

5.3 Medium

CVSS3

CVE ID

Дефекты

CWE-401

Связанные уязвимости

CVE-2026-25796

CVSS3: 5.3

ubuntu

около 1 месяца назад

ImageMagick is free and open-source software used for editing and manipulating digital images. Prior to versions 7.1.2-15 and 6.9.13-40, in `ReadSTEGANOImage()` (`coders/stegano.c`), the `watermark` Image object is not freed on three early-return paths, resulting in a definite memory leak (~13.5KB+ per invocation) that can be exploited for denial of service. Versions 7.1.2-15 and 6.9.13-40 contain a patch.

CVE-2026-25796

CVSS3: 5.3

redhat

около 1 месяца назад

ImageMagick is free and open-source software used for editing and manipulating digital images. Prior to versions 7.1.2-15 and 6.9.13-40, in `ReadSTEGANOImage()` (`coders/stegano.c`), the `watermark` Image object is not freed on three early-return paths, resulting in a definite memory leak (~13.5KB+ per invocation) that can be exploited for denial of service. Versions 7.1.2-15 and 6.9.13-40 contain a patch.

CVE-2026-25796

CVSS3: 5.3

nvd

около 1 месяца назад

ImageMagick is free and open-source software used for editing and manipulating digital images. Prior to versions 7.1.2-15 and 6.9.13-40, in `ReadSTEGANOImage()` (`coders/stegano.c`), the `watermark` Image object is not freed on three early-return paths, resulting in a definite memory leak (~13.5KB+ per invocation) that can be exploited for denial of service. Versions 7.1.2-15 and 6.9.13-40 contain a patch.

CVE-2026-25796

CVSS3: 5.3

debian

около 1 месяца назад

ImageMagick is free and open-source software used for editing and mani ...

SUSE-SU-2026:0854-1

suse-cvrf

19 дней назад

Security update for ImageMagick

EPSS

Процентиль: 17%

0.00055

Низкий

5.3 Medium

CVSS3

CVE ID

Дефекты

CWE-401