概要
画像処理ソフトウェアであるImageMagickのMSL(Magick Scripting Language)処理において、スタックオーバーフローの脆弱性(CVE-2026-25971)が報告されました。この脆弱性は、MSLスクリプトの処理中に、循環参照のチェックが適切に行われないことに起因します。結果として、サービス運用に影響を及ぼす可能性があります。
影響範囲
以下のImageMagickのバージョンを使用しているシステムが影響を受ける可能性があります。
- バージョン 7.1.2-15 より前のバージョン
- バージョン 6.9.13-40 より前のバージョン
想定される影響
本脆弱性が悪用された場合、以下のような影響が想定されます。
- ImageMagickが異常終了し、サービス拒否(DoS)状態に陥る可能性があります。
- 最悪の場合、細工されたMSLスクリプトを処理させることで、任意のコードが実行される可能性も指摘されています。
攻撃成立条件・悪用状況
攻撃者は、脆弱性のあるImageMagickが処理するMSLスクリプトに、意図的に循環参照を組み込むことで本脆弱性を悪用する可能性があります。現時点では、本脆弱性の具体的な悪用状況に関する報告は確認されていません。
推奨対策
今すぐできる対策(最優先)
- ImageMagickのアップデート: 開発元から提供されている修正済みバージョンへの速やかなアップデートを強く推奨します。
- バージョン 7.1.2-15 以降
- バージョン 6.9.13-40 以降
中長期的な対策
- ImageMagick利用状況の棚卸し: 自社システム内でImageMagickがどのように利用されているか、そのバージョンを含めて定期的に棚卸しを行い、常に最新のセキュリティ情報を把握できる体制を構築してください。
- セキュリティパッチ適用プロセスの見直し: 脆弱性情報が公開された際に、迅速かつ確実にパッチを適用できる運用体制を確立することが重要です。
一時的な緩和策
現時点では、本脆弱性に対する具体的な一時的な緩和策は報告されていません。修正済みバージョンへのアップデートが最も効果的な対策となります。
確認方法
現在使用しているImageMagickのバージョンは、コマンドラインで convert --version または magick --version を実行することで確認できます。出力されるバージョン情報が修正済みバージョン(7.1.2-15または6.9.13-40以降)であることを確認してください。
参考情報
- CVE-2026-25971 – ImageMagick’s MSL: Stack overflow in ProcessMSLScript: https://cvefeed.io/vuln/detail/CVE-2026-25971