GIMP の Script-Fu サーバコンポーネントにおけるバッファオーバーフローの脆弱性(Scan Tech Report) | ScanNetSecurity
2026.07.03(金)

GIMP の Script-Fu サーバコンポーネントにおけるバッファオーバーフローの脆弱性(Scan Tech Report)

GIMP の Script-Fu サーバコンポーネントにバッファオーバーフローを引き起こしてしまう脆弱性が報告されました。

脆弱性と脅威 エクスプロイト
1.概要
GIMP の Script-Fu サーバコンポーネントにバッファオーバーフローを引き起こしてしまう脆弱性が報告されました。
リモートの第三者に利用された場合、Script-Fu サーバを不正に停止される、あるいはシステム上で不正な操作が実行される可能性があります。
Script-Fu サーバ機能を利用する環境では、深刻な影響を受ける可能性があるため、対象のユーザは可能な限り以下に記載する対策を実施することを推奨します。


2.深刻度(CVSS)
CVE-ID 未割り当てのため、現状なし


3.影響を受けるソフトウェア
GIMP 2.6.12 以前

※影響を受けるバージョンの GIMP が含まれる、Linux ディストリビューションにおいても、この脆弱性の影響を受ける可能性があります。


4.解説
GIMP(GNU Image Manipulation Program)は、オープンソースで開発されている多彩な機能を備えたフリーの画像編集ソフトウェアであり、コマンドラインから GIMP の操作に対応するスクリプト言語 Script-Fu を利用可能な機能が実装されています。

GIMP の Script-Fu サーバコンポーネントには、Script-Fu スクリプトコマンドのチェックに不備があるため、当該コマンドに過度に長い文字列が指定された不正なメッセージを処理した場合に、バッファオーバーフローが発生する脆弱性が存在します。

この脆弱性を利用することで、リモートの攻撃者は Script-Fu サーバをクラッシュさせサービス不能状態にする、あるいは GIMP を実行するユーザの権限で任意のコードが実行可能となります。

なお、Script-Fu サーバ機能が有効な環境のみが、この脆弱性の影響を受けます。


5.対策
以下の Web サイトより GIMP 2.8.0 以降を入手しアップデートすることで、
この脆弱性を解消することが可能です。
あるいは、Script-Fu サーバ機能を無効にすることで、この脆弱性を回避する
ことが可能です。

GIMP 2.8.0:
http://www.gimp.org/downloads/


6.ソースコード
(Web非公開)

(執筆:株式会社ラック サイバー脅威分析センター

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

PageTop

アクセスランキング

  1. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  2. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  3. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  4. 2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

    2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

  5. 現代仏壇に不正アクセス、親会社である株式会社はせがわが保有する個人情報には影響無し

    現代仏壇に不正アクセス、親会社である株式会社はせがわが保有する個人情報には影響無し

ランキングをもっと見る
PageTop