Din webbplats tar emot bilduppladdningar varje dag. Profilbilder, produktfoton, formulärbilagor. Men vad händer om en av de bilderna i själva verket är ett vapen? En ny zero-day-sårbarhet i ImageMagick gör det möjligt för en angripare att ta full kontroll över din server genom att ladda upp en vanlig jpg-fil.

Vad är ImageMagick?

ImageMagick är ett bildbehandlingsverktyg som används av miljontals webbplatser för att ändra storlek, konvertera och bearbeta bilder. Det körs i bakgrunden på de flesta Linux-servrar och är en standardkomponent i WordPress och många andra webbplattformar.

Så fungerar attacken

Forskare från Octagon Networks upptäckte att ImageMagick litar för mycket på dolda tecken i filens interna struktur. Säkerhetssystem kontrollerar vanligtvis filändelsen, till exempel .png eller .jpg, men ImageMagick tittar djupare. Genom en teknik som forskarna kallar magic byte shift kan en angripare dölja skadlig kod inuti en till synes harmlös bild.

När ImageMagick bearbetar filen skickar det vidare den till GhostScript, ett sekundärt verktyg som exekverar kommandon. Även när ImageMagick är konfigurerat att blockera farliga filtyper passerar det ändå filen vidare. Resultatet: angriparen kan läsa lösenord, skriva nya filer och skapa en permanent bakdörr på servern.

Forskarna kunde även använda ImageMagicks eget skriptspråk (MSL) för att bryta sig ur säkerhetssandlådor och flytta filer fritt på hårddisken.

Vilka system är drabbade?

Sårbarheten påverkar nästan alla stora Linux-distributioner: Ubuntu 22.04, Debian och Amazon Linux. WordPress-sajter som använder plugins med bilduppladdning, som Gravity Forms, är särskilt utsatta. En enda uppladdning kan till och med krascha en server genom att fylla det tillfälliga minnet med över 1 TB data på under en sekund.

Varför finns ingen patch?

En fix lades till i vissa versioner redan i november 2025, men den märktes aldrig som en säkerhetsuppdatering. Det betyder att de flesta servrar, inklusive standardinstallationer av Ubuntu, förblir sårbara fram till 2027 om inte administratörer manuellt ingriper.

Avsaknaden av en formell varning har skapat ett stort hål i den globala säkerheten. Många administratörer vet inte ens att risken finns.

Vad bör du göra?

Kontrollera om din server kör ImageMagick. Om ja, uppdatera till den senaste versionen manuellt. Granska din policy.xml och se till att GhostScript-delegering är blockerad. Begränsa vilka filformat som accepteras vid uppladdning och överväg att byta till ett alternativt bildbehandlingsbibliotek som libvips.

Behöver du hjälp att säkra din webbmiljö? Kontakta BlckIT så gör vi en genomgång av din infrastruktur.