प्लेटफ़ॉर्म
linux
घटक
gimp
में ठीक किया गया
3.0.9
CVE-2026-4154 describes a Remote Code Execution (RCE) vulnerability affecting GIMP, a popular open-source image editor. This flaw stems from insufficient validation during XPM file parsing, potentially allowing an attacker to execute arbitrary code. The vulnerability impacts GIMP version 3.0.8–3.0.8 and requires user interaction, such as opening a malicious file or visiting a compromised webpage, to trigger exploitation. A patch is available to address this security issue.
GIMP में CVE-2026-4154 का CVSS स्कोर 7.8 है, जो रिमोट कोड निष्पादन की संभावना के कारण एक महत्वपूर्ण जोखिम पैदा करता है। यह भेद्यता XPM फ़ाइलों के पार्सिंग के दौरान होती है और उपयोगकर्ता द्वारा प्रदान किए गए डेटा के अपर्याप्त सत्यापन के कारण होती है, जिसके परिणामस्वरूप alloca कॉल से पहले एक पूर्णांक अतिप्रवाह होता है। एक हमलावर इस भेद्यता का फायदा उठाकर सिस्टम को समझौता कर सकता है यदि पीड़ित एक दुर्भावनापूर्ण XPM फ़ाइल खोलता है या उस वेबपेज पर जाता है जिसमें वह शामिल है। जोखिम की गंभीरता हमलावर की प्रभावित सिस्टम पर नियंत्रण प्राप्त करने की क्षमता से उत्पन्न होती है, जिसके परिणामस्वरूप डेटा हानि, सेवा व्यवधान या संवेदनशील जानकारी तक अनधिकृत पहुंच हो सकती है। वर्तमान में फिक्स (fix) की अनुपस्थिति सावधानी बरतने और वैकल्पिक शमन उपायों को लागू करने की आवश्यकता होती है।
CVE-2026-4154 का शोषण करने के लिए उपयोगकर्ता संपर्क की आवश्यकता होती है। एक हमलावर को पीड़ित को दुर्भावनापूर्ण XPM फ़ाइल खोलने या उस वेबपेज पर जाने के लिए बरगलाना होगा जिसमें वह शामिल है। XPM फ़ाइल को छवि डेटा रखने के लिए डिज़ाइन किया गया है, लेकिन इस मामले में, इसका उपयोग दुर्भावनापूर्ण कोड को इंजेक्ट करने के लिए एक वेक्टर के रूप में किया जा रहा है। XPM फ़ाइल पार्सिंग के दौरान पूर्णांक अतिप्रवाह से गलत मेमोरी आवंटन होता है, जिससे हमलावर सिस्टम मेमोरी में मनमाना कोड लिख सकता है। इस दुर्भावनापूर्ण कोड का निष्पादन हमलावर को प्रभावित सिस्टम पर नियंत्रण प्रदान करता है। शोषण की जटिलता मौजूदा सुरक्षा उपायों द्वारा पता नहीं लगाए जाने वाले भेद्यता का शोषण करने वाली दुर्भावनापूर्ण XPM फ़ाइल बनाने में निहित है।
Users of GIMP version 3.0.8–3.0.8, particularly those who frequently handle images from untrusted sources or are part of environments where users may be susceptible to social engineering attacks, are at increased risk. Shared hosting environments where multiple users share the same GIMP installation are also vulnerable.
• linux / server:
journalctl -u gimp | grep -i error• linux / server:
lsof | grep gimp• linux / server:
ps aux | grep gimpdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (21% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि CVE-2026-4154 के लिए कोई आधिकारिक फिक्स नहीं है, इसलिए शमन जोखिम के संपर्क को कम करने पर केंद्रित है। अज्ञात या अविश्वसनीय स्रोतों से XPM फ़ाइलों को खोलने से बचना दृढ़ता से अनुशंसा की जाती है। यदि संभव हो, तो GIMP में XPM आयात कार्यक्षमता को अक्षम करना एक अधिक कठोर लेकिन प्रभावी उपाय है। ऑपरेटिंग सिस्टम और सभी अनुप्रयोगों (GIMP सहित) को नवीनतम सुरक्षा पैच के साथ अद्यतित रखना, भले ही वे सीधे इस भेद्यता को संबोधित न करें, समग्र सुरक्षा मुद्रा को मजबूत कर सकता है। मजबूत एंटीवायरस सॉफ़्टवेयर और फ़ायरवॉल को लागू करने से शोषण प्रयासों का पता लगाने और उन्हें ब्लॉक करने में मदद मिल सकती है। अज्ञात स्रोतों से फ़ाइलों को खोलने से जुड़े जोखिमों के बारे में उपयोगकर्ताओं को शिक्षित करना हमलों को रोकने के लिए महत्वपूर्ण है।
Actualice GIMP a la versión 3.0.8 o posterior para mitigar la vulnerabilidad de desbordamiento de enteros en el análisis de archivos XPM. Esta actualización corrige la validación de datos proporcionados por el usuario, previniendo la ejecución de código arbitrario.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XPM फ़ाइल एक साधारण छवि फ़ाइल प्रारूप है जिसका उपयोग ब्लैक एंड व्हाइट या ग्रेस्केल छवियों को संग्रहीत करने के लिए किया जाता है। यह आमतौर पर आइकन और सरल ग्राफिक्स के लिए उपयोग किया जाता है।
यदि आप GIMP के एक कमजोर संस्करण का उपयोग कर रहे हैं, तो आप संभावित रूप से कमजोर हैं। यह भेद्यता एक फिक्स जारी होने से पहले के संस्करणों को प्रभावित करती है (वर्तमान में कोई नहीं है)।
तुरंत अपने सिस्टम को नेटवर्क से डिस्कनेक्ट करें और नवीनतम एंटीवायरस सॉफ़्टवेयर के साथ पूर्ण सिस्टम स्कैन चलाएं। GIMP को फिर से स्थापित करने पर विचार करें।
हाँ, Adobe Photoshop, Krita और Photopea सहित GIMP के कई विकल्प हैं। अनुसंधान करें और एक विकल्प चुनें जो आपकी आवश्यकताओं को पूरा करता हो और नवीनतम सुरक्षा पैच के साथ अपडेट किया गया हो।
वर्तमान में फिक्स जारी करने की अनुमानित तारीख नहीं है। GIMP के आधिकारिक घोषणाओं और सुरक्षा स्रोतों पर नज़र रखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।