這個(gè)漏洞被命名為 ImageTragick。

知道創(chuàng)宇安全研究團(tuán)隊(duì)已經(jīng)證明，一堆大服務(wù)受到這個(gè)漏洞影響，點(diǎn)名根本點(diǎn)不過來。不廢話，直接看！

[緊急預(yù)警]

關(guān)于 ImageTragick 漏洞（官網(wǎng)）：
https://imagetragick.com/

官網(wǎng)上已經(jīng)給出了好幾種測試姿勢，比如：

圖片發(fā)自簡書App

圖片發(fā)自簡書App

Seebug在不斷跟進(jìn)這個(gè)漏洞的生命線，相關(guān) Tag：
https://www.seebug.org/appdir/ImageMagick

防御可以使用 policy.xml 規(guī)則或者升級（不過注意目前很多源是沒有修復(fù)的）必要可以停用 ImageMagick 擴(kuò)展。

PS：注意 ImageTragick 和 ImageMagick 的區(qū)別;-)

這個(gè)漏洞對得起專門弄個(gè)漏洞官網(wǎng)，這個(gè)漏洞其實(shí)媒體也應(yīng)該重視，除了 BAT 各種躺槍，許多知名建站組件、相關(guān)設(shè)備也出現(xiàn)了問題。為什么呢？因?yàn)樵谧畛Ｒ姷膱D片處理過程（比如上傳）使用了本次的漏洞主角 ImageMagick。用途之廣泛令人發(fā)指，雖然利用上對于新手來說倒不是那么容易，但對于黑闊來說：

這都不是事！

作者：余弦
鏈接：https://zhuanlan.zhihu.com/p/20851881