Am 23. Februar 2026 wurde CVE-2026-23876 veröffentlicht, eine Heap-Buffer-Overflow-Schwachstelle in ImageMagick, die mit CVSS 8.1 als hochgefährlich eingestuft wird. Besonders brisant: Ein funktionsfähiger Proof-of-Concept ist bereits öffentlich verfügbar, was die Angriffsschwelle erheblich senkt und schnelles Handeln notwendig macht.
Betroffen sind ImageMagick-Versionen ab 7.1.2-13 sowie ab 6.9.13-38. Die Lücke steckt im XBM-Bilddecoder (Funktion ReadXBMImage) und entsteht durch fehlerhafte Bereichsprüfung beim Verarbeiten von XBM-Dateien. Ein Angreifer kann eine manipulierte Bilddatei einschleusen, die den Decoder dazu bringt, über den zugewiesenen Speicherbereich hinaus zu schreiben – mit möglicher Folge von beliebiger Codeausführung im Kontext des ImageMagick-Prozesses. Das bedeutet im schlimmsten Fall vollständige Kompromittierung des verarbeitenden Systems, Datenverlust oder Absturz.
Bin ich betroffen? ImageMagick ist in sehr vielen Umgebungen versteckt: als Bildverarbeitungsbibliothek in WordPress-Plugins, PHP-Anwendungen, Ruby on Rails (via Paperclip/CarrierWave), Python-Pipelines und zahlreichen CMS. Mit convert --version oder magick --version lässt sich die installierte Version schnell prüfen. Wer Bilder automatisiert verarbeitet oder Upload-Funktionen anbietet, sollte das unbedingt tun.
Empfehlung: Sofort auf die gepatchte Version aktualisieren – unter Linux über den Paketmanager (apt upgrade imagemagick, dnf upgrade imagemagick), auf anderen Systemen direkt über die offizielle ImageMagick-Quelle. Bis zum Update empfiehlt sich, XBM-Dateien als Eingabeformat gezielt zu blockieren, sofern nicht benötigt. Upload-Schnittstellen sollten generell Dateitypen serverseitig validieren, nicht nur clientseitig.
Quellen: GitHub Advisory GHSA-r49w-jqq3-3gx8 · NVD CVE-2026-23876
