关键信息 漏洞概述 漏洞名称: Command Injection Vulnerability in ImageMagick Handler 严重性: Critical (9.8/10) CVE ID: CVE-2025-54418 CWE: CWE-78 (OS Command Injection) 影响范围 受影响版本: < 4.6.1 修复版本: 4.6.2 影响描述 受影响的应用程序: - 使用ImageMagick处理器进行图像处理( 作为图像库) - 并且满足以下条件之一: - 允许用户控制文件名的文件上传,并使用 方法处理上传的图像 - 或者使用 方法并包含用户控制的文本内容或选项 攻击影响 攻击者可以: - 上传带有恶意文件名的文件,其中包含在图像处理时执行的shell元字符 - 或提供在添加文本到图像时执行的恶意文本内容或选项 修复措施 升级到v4.6.2或更高版本 缓解措施 切换到GD图像处理器(默认处理器),不受此漏洞影响 对于文件上传场景:生成随机文件名以消除攻击向量 对于文本操作:对输入进行清理,仅允许安全字符,并验证/限制文本选项 参考资料 OWASP Command Injection Prevention CWE-78: OS Command Injection