Nel mondo dei server web e delle applicazioni che gestiscono l'upload di contenuti multimediali, ImageMagick rappresenta uno standard de facto
In questi giorni di giugno 2026, la community della sicurezza ha acceso un enorme faro rosso sulla suite
Andiamo ad analizzare nel dettaglio cosa sta succedendo sotto il cofano
Anatomia delle Falle: Heap Overflow e Command Injection
Le patch rilasciate risolvono una serie di bug strutturali legati alla gestione della memoria e al parsing di file malformati
CVE-2026-46520 & CVE-2026-46692 (Heap Buffer Overflow) Il primo dei due problemi risiede nel motore di lettura nativo quando elabora file d'immagine multiframe (come GIF animate o TIFF particolari)
. Se i vari frame presentano dimensioni geometriche differenti e non standard, l'allocatore di memoria della suite va in overflow . Il secondo colpisce invece il componente magick-distribute-cache. In entrambi i casi, l'esito è letale: crash immediato del processo o, nello scenario peggiore, corruzione della memoria sfruttabile per l'esecuzione di codice . La Falla nel Decoder SVG (Command Injection & DoS) Forse il pericolo più subdolo riguarda il decoding dei file vettoriali SVG
. Essendo l'SVG un formato basato su XML, gli aggressori sono riusciti a manipolare i tag per forzare il sistema a subire una command injection (esecuzione di comandi arbitrari sul sistema operativo ospite) e a innescare una negazione del servizio (Denial of Service) saturando completamente la RAM del server . Out-of-Bounds con Floyd-Steinberg (CVE-2026-48724) Risolta un'ulteriore anomalia che si verificava applicando l'algoritmo di dithering Floyd-Steinberg su immagini dotate di maschere di livello, provocando una scrittura fuori dai limiti della memoria allocata
.
L'Impatto Reale sui Sistemi Web
Il vero problema di queste vulnerabilità non riguarda tanto l'utente che usa ImageMagick da riga di comando sul proprio PC, quanto i server esposti al pubblico
Molti CMS e web application consentono agli utenti di caricare avatar, foto o documenti
Come Mettersi al Sicuro: Versioni Corrette
Il team di sviluppo di ImageMagick ha risposto tempestivamente rilasciando i correttivi ufficiali
Per chi utilizza il ramo moderno 7.x: aggiornare immediatamente alla versione 7.1.2-24 (o alla successiva 7.1.2-25)
. Per chi si trova su infrastrutture legacy 6.x: installare la versione 6.9.13-48
.
Se utilizzate distribuzioni Enterprise (come RHEL, Ubuntu LTS o Debian), controllate i repository ufficiali: i maintainer stanno effettuando il backporting delle patch in queste ore. Nel caso in cui l'aggiornamento non fosse momentaneamente applicabile, una buona contromisura temporanea consiste nel modificare il file policy.xml di ImageMagick per disabilitare temporaneamente il parsing dei formati più a rischio, come l'SVG.
Questa ondata di patch ci ricorda che la sicurezza non è un prodotto, ma un processo continuo