Удалённое выполнение кода через загрузку картинок на вашем сервере или локальном компьютере в ghostscript/imagick
Кратко: если у вас на сайте есть загрузка изображений и вы обрабатываете их при помощи популярной библиотеки ImageMagick, то загрузив картинку можно выполнить shell-команду с правами юзера веб-сервера (например: загрузить RAT, майнер, слить исходники, получить доступ к базе, вызвать отказ и т.п.)
Странно, что мимо хабросообщества прошла стороной новость (оригинал) о новых дырах в библиотеке GhostScript и как следствие множестве других библиотек, использующих её под капотом. Итак, что мы имеем?
Читать дальше →
Странно, что мимо хабросообщества прошла стороной новость (оригинал) о новых дырах в библиотеке GhostScript и как следствие множестве других библиотек, использующих её под капотом. Итак, что мы имеем?
Читать дальше →
Источник: Хабрахабр
Похожие новости
- VLESS+Reality и Multi-hop: Архитектура VPN-цепочки для нового поколения блокировок
- Laravel: электронная подпись на сервере с PDF визуализацией
- Perplexity запускает Comet — собственный AI-браузер, бросающий вызов Google
- OSINT на боевом рубеже: новый фронт военной разведки
- Блеск и ад p2p-торговли на Bybit
- Руководство по pgcrypto — шифрование внутри PostgreSQL. Часть 2
- Как я подружил Yandex Cloud и Gemini API без миграции на зарубежные сервера
- Деньги ушли в Telegram, а риэлтор — в тень: как россиян обманывают при покупке недвижимости в Таиланде
- Крепость под наблюдением: ставим Maltrail и ловим «шпионов» (Часть 2)
- uniSiter: Wildberries доставляет еду, Яндекс запускает биржу тг-каналов, Самокат тестирует доставку дронами