الثغرات ›

CVE-2016-3718

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

ImageMagick Server-Side Request Forgery (SSRF) Vulnerability — ImageMagick contains an unspecified vulnerability that allows attackers to perform server-side request forgery (SSRF) via a crafted image

                    نُشر: Nov 3, 2021                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

CVE-2016-3718 is a critical Server-Side Request Forgery (SSRF) vulnerability in ImageMagick, part of the infamous 'ImageTragick' series of vulnerabilities. It allows attackers to craft malicious image files that, when processed by ImageMagick, force the server to make arbitrary HTTP/FTP requests to internal or external resources. With a CVSS score of 9.0 and publicly available exploits, this vulnerability poses an immediate threat to any system processing user-uploaded images. Despite being from 2016, unpatched ImageMagick installations remain common in legacy web applications and content management systems.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 5, 2026 19:10

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability poses significant risk to Saudi organizations across multiple sectors. Government portals (NCA-regulated) and banking applications (SAMA-regulated) that process user-uploaded images are directly at risk, as SSRF can be leveraged to access internal cloud metadata services, internal APIs, and sensitive backend systems. Saudi e-commerce platforms, healthcare systems processing medical images, and telecom customer portals (STC, Mobily, Zain) using ImageMagick for image processing are vulnerable. Energy sector organizations including ARAMCO's web-facing applications could be targeted. The SSRF capability could allow attackers to pivot into internal networks, access AWS/Azure metadata endpoints, and exfiltrate sensitive data from Saudi critical infrastructure.

🏢 القطاعات السعودية المتأثرة

Government Banking Healthcare Energy Telecommunications E-commerce Education Media

⚖️ درجة المخاطر السعودية (AI)

8.5

/ 10.0

🔧 Remediation Steps (English)

Immediate Actions:

1. Identify all systems running ImageMagick using asset inventory and vulnerability scanning

2. Update ImageMagick to version 6.9.3-10 or later (7.x series recommended)

3. Implement a restrictive policy.xml file to disable vulnerable coders:

   - Disable MVG, MSL, EPHEMERAL, URL, HTTPS, HTTP, FTP coders

   - Add: <policy domain="coder" rights="none" pattern="EPHEMERAL" />

   - Add: <policy domain="coder" rights="none" pattern="URL" />

   - Add: <policy domain="coder" rights="none" pattern="HTTPS" />

   - Add: <policy domain="coder" rights="none" pattern="HTTP" />

   - Add: <policy domain="coder" rights="none" pattern="FTP" />

   - Add: <policy domain="coder" rights="none" pattern="MVG" />

   - Add: <policy domain="coder" rights="none" pattern="MSL" />

4. Validate uploaded file types using magic bytes, not just file extensions

5. Process images in sandboxed/containerized environments with no network access



Detection Rules:

- Monitor for outbound HTTP/FTP connections originating from image processing services

- Deploy WAF rules to inspect uploaded files for MVG/SVG payloads containing URL references

- Create SIEM alerts for unusual outbound connections from web application servers

- Monitor for requests to cloud metadata endpoints (169.254.169.254) from application servers

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع الأنظمة التي تشغل ImageMagick باستخدام جرد الأصول وفحص الثغرات

2. تحديث ImageMagick إلى الإصدار 6.9.3-10 أو أحدث (يُوصى بسلسلة 7.x)

3. تطبيق ملف policy.xml مقيد لتعطيل المشفرات الضعيفة:

   - تعطيل مشفرات MVG و MSL و EPHEMERAL و URL و HTTPS و HTTP و FTP

   - إضافة: <policy domain="coder" rights="none" pattern="EPHEMERAL" />

   - إضافة: <policy domain="coder" rights="none" pattern="URL" />

   - إضافة: <policy domain="coder" rights="none" pattern="HTTPS" />

   - إضافة: <policy domain="coder" rights="none" pattern="HTTP" />

   - إضافة: <policy domain="coder" rights="none" pattern="FTP" />

   - إضافة: <policy domain="coder" rights="none" pattern="MVG" />

   - إضافة: <policy domain="coder" rights="none" pattern="MSL" />

4. التحقق من أنواع الملفات المرفوعة باستخدام البايتات السحرية وليس امتدادات الملفات فقط

5. معالجة الصور في بيئات معزولة/حاويات بدون وصول للشبكة



قواعد الكشف:

- مراقبة الاتصالات الصادرة HTTP/FTP من خدمات معالجة الصور

- نشر قواعد WAF لفحص الملفات المرفوعة بحثاً عن حمولات MVG/SVG التي تحتوي على مراجع URL

- إنشاء تنبيهات SIEM للاتصالات الصادرة غير المعتادة من خوادم التطبيقات

- مراقبة الطلبات إلى نقاط نهاية البيانات الوصفية السحابية (169.254.169.254)

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

2-3-1 (Vulnerability Management) 2-5-1 (Network Security) 2-6-1 (Application Security) 2-9-1 (Cybersecurity Event Management)

🔵 SAMA CSF

3.3.3 (Patch Management) 3.3.5 (Vulnerability Management) 3.4.1 (Network Security Management) 3.3.8 (Application Security)

🟡 ISO 27001:2022

A.8.8 (Management of technical vulnerabilities) A.8.9 (Configuration management) A.8.23 (Web filtering) A.8.28 (Secure coding)

🟣 PCI DSS v4.0

6.3.3 (Patch critical vulnerabilities) 6.4.1 (Web application security) 6.5.9 (Server-side request forgery) 11.3 (Vulnerability scanning)

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

ImageMagick:ImageMagick

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS83.83%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2022-05-03

تاريخ النشر 2021-11-03

المصدر cisa_kev

المشاهدات 4

🇸🇦 درجة المخاطر السعودية

8.5

/ 10.0 — مخاطر السعودية

🏷️ الوسوم

kev actively-exploited

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2016-3718

عرّفنا بنفسك

تسجيل الدخول مطلوب