प्लेटफ़ॉर्म
linux
घटक
gimp
में ठीक किया गया
3.0.9
CVE-2026-4151 is a Remote Code Execution (RCE) vulnerability affecting GIMP versions 3.0.8. This flaw stems from improper validation during the parsing of ANI files, leading to an integer overflow. Successful exploitation allows an attacker to execute arbitrary code on the system, requiring user interaction such as opening a malicious file or visiting a malicious webpage. A patch is available to resolve this issue.
GIMP में CVE-2026-4151, CVSS स्कोर 7.8 के साथ रेट किया गया है, जो रिमोट कोड एग्जीक्यूशन (RCE) का एक महत्वपूर्ण जोखिम प्रस्तुत करता है। यह खामी ANI फ़ाइलों के पार्सिंग में मौजूद है और उपयोगकर्ता द्वारा प्रदान किए गए डेटा के उचित सत्यापन की कमी के कारण होती है, जिससे आवंटन (alloca) से पहले एक पूर्णांक ओवरफ्लो होता है। एक हमलावर इस भेद्यता का फायदा उठाकर एक कमजोर सिस्टम पर दुर्भावनापूर्ण कोड निष्पादित कर सकता है। संभावित प्रभाव में सिस्टम समझौता, डेटा की चोरी या संचालन में व्यवधान शामिल हैं। हालांकि उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है (एक फ़ाइल खोलना या एक दुर्भावनापूर्ण पृष्ठ पर जाना), RCE की गंभीरता इस भेद्यता को GIMP उपयोगकर्ताओं के लिए एक गंभीर चिंता का विषय बनाती है।
CVE-2026-4151 का शोषण करने के लिए, किसी उपयोगकर्ता को एक दुर्भावनापूर्ण ANI फ़ाइल खोलनी होगी या विशेष रूप से तैयार ANI फ़ाइल युक्त वेबपेज पर जाना होगा। ANI फ़ाइल को GIMP पार्सर में डेटा सत्यापन की कमी का फायदा उठाने के लिए डिज़ाइन किया गया है, जिससे पूर्णांक ओवरफ्लो होता है। यह ओवरफ्लो हमलावर को मेमोरी में मनमाना डेटा लिखने की अनुमति दे सकता है, जिससे अंततः कोड निष्पादन हो सकता है। उपयोगकर्ता इंटरैक्शन की आवश्यकता शोषण को लक्षित हमलों तक सीमित कर देती है, जहां हमलावर उपयोगकर्ता को फ़ाइल खोलने या दुर्भावनापूर्ण वेबसाइट पर जाने के लिए मना सकता है। एक शोषण योग्य ANI फ़ाइल बनाने की जटिलता के लिए महत्वपूर्ण तकनीकी विशेषज्ञता की आवश्यकता होती है।
Users of GIMP 3.0.8 on Linux systems are at direct risk. Individuals who frequently handle files from untrusted sources, such as graphic designers or those working with user-submitted images, are particularly vulnerable. Shared hosting environments where multiple users share the same GIMP installation also increase the risk of exploitation.
• linux / server:
journalctl -f | grep -i "gimp" # Monitor GIMP process logs for anomalies
ps aux | grep gimp # Check for unusual GIMP processes• generic web:
curl -I http://your-gimp-server/malicious.ani # Check for unexpected server responses when accessing potentially malicious ANI filesdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (21% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, CVE-2026-4151 के लिए कोई आधिकारिक फिक्स (पैच) उपलब्ध नहीं है। सबसे प्रभावी शमन अविश्वसनीय स्रोतों से ANI फ़ाइलों को खोलने से बचना है। हम GIMP उपयोगकर्ताओं को दृढ़ता से सलाह देते हैं कि पैच जारी होने के बाद जल्द से जल्द नवीनतम उपलब्ध संस्करण में अपडेट करें। इस बीच, यदि आवश्यक न हो तो ANI फ़ाइलों को खोलने की क्षमता को अक्षम करने की सलाह दी जाती है। पैच के बारे में अपडेट के लिए GIMP के आधिकारिक स्रोतों (वेबसाइट, मेलिंग सूची) की निगरानी करना महत्वपूर्ण है। इसके अतिरिक्त, नवीनतम एंटीवायरस सॉफ़्टवेयर का उपयोग करने और इंटरनेट ब्राउज़ करते समय सावधानी बरतने जैसे सामान्य सुरक्षा उपायों को लागू करने से जोखिम को कम करने में मदद मिल सकती है।
Actualice GIMP a una versión corregida para mitigar la vulnerabilidad de desbordamiento de enteros en el análisis de archivos ANI. Consulte las notas de la versión o el sitio web oficial de GIMP para obtener instrucciones de actualización específicas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
ANI फ़ाइल एक विंडोज एनिमेटेड कर्सर फ़ाइल है। इसमें छवियों की एक श्रृंखला शामिल है जिसका उपयोग एनिमेशन बनाने के लिए किया जाता है।
यदि आप GIMP के उस संस्करण का उपयोग कर रहे हैं जिसमें पैच शामिल नहीं है (एक बार जारी होने के बाद), तो आप कमजोर हैं। अपने GIMP संस्करण की जांच करें और इसे पैच किए गए संस्करणों से तुलना करें।
अपने सिस्टम को नेटवर्क से डिस्कनेक्ट करें, अपने एंटीवायरस सॉफ़्टवेयर के साथ पूर्ण स्कैन चलाएं और विश्वसनीय स्रोत से GIMP को फिर से स्थापित करने पर विचार करें।
वर्तमान में इस भेद्यता से संबंधित दुर्भावनापूर्ण ANI फ़ाइलों का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। सावधानी और स्रोत सत्यापन सबसे अच्छा बचाव है।
फिक्स के लिए कोई अनुमानित रिलीज तिथि नहीं है। अपडेट के लिए GIMP के आधिकारिक स्रोतों की निगरानी करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।