ImageMagick にDeleGateを使用したイメージの処理に入力検証不備の脆弱性が確認された。影響を受けるのはmageMagick version 6.9.3-10以前およびImageMagick 7.0.1-1以前のバージョンで、ImageMagick には外部ライブラリを使用してファイルを処理する delegate という機能があり、設定ファイル delegates.xml で指定されたコマンド名 (‘command’) と、入力ファイル名や出力ファイル名などパラメータの値で組み立てられた文字列を system() 関数に渡して実行するが、パラメータ %M に当てはめる入力値のフィルタリングが不十分なことにより、シェルコマンドインジェクションが可能となる。この脆弱性が悪用されると
画像ファイルのアップロードが可能な攻撃者に、ImageMagick の実行可能なユーザ権限で任意のコードを実行される恐れがある。解決策として、 ImageMagick 6.9.4-0および ImageMagick 7.0.1-2 が公開されており、アップデートによりこの脆弱性は修正される。
