Se han identificado dos vulnerabilidades de seguridad críticas en el conocido software de edición de imágenes GIMP. Estas fallas posibilitan que atacantes remotos ejecuten código arbitrario en los sistemas afectados.
Dichas vulnerabilidades, designadas como CVE-2025-2760 y CVE-2025-2761, se hicieron públicas el 7 de abril de 2025 y comprometen las instalaciones de GIMP anteriores a la versión 3.0.0.
Para que estas vulnerabilidades se exploten con éxito, se requiere la interacción del usuario, como abrir archivos maliciosos o visitar páginas web comprometidas.
Las fallas fueron descubiertas por el investigador de seguridad Michael Randrianantenaina y reportadas a través de Zero Day Initiative (ZDI).
Cada vulnerabilidad tiene una puntuación base CVSS v3.0 de 7,8, clasificada como gravedad «alta» con la cadena vectorial AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H, lo que indica impactos potenciales significativos en la confidencialidad, integridad y disponibilidad del sistema.
CVE-2025-2760 representa una falla crítica en la funcionalidad de análisis de archivos XWD de GIMP, derivada de una validación insuficiente de los datos proporcionados por el usuario que puede resultar en una condición de desbordamiento de enteros antes de la asignación del búfer.
El problema técnico específico ocurre durante el análisis de archivos X Window Dump (XWD), donde la falta de una validación de entrada adecuada permite a los atacantes manipular estructuras de datos antes de que ocurra la asignación de memoria.
Los atacantes pueden aprovechar esta condición de desbordamiento de enteros para ejecutar código arbitrario dentro del contexto del proceso GIMP actual, comprometiendo potencialmente todo el sistema dependiendo de los privilegios del usuario.
La segunda vulnerabilidad, CVE-2025-2761, afecta el mecanismo de análisis de archivos FLI de GIMP e implica una condición de escritura fuera de límites.
Esta falla surge de una validación insuficiente de los datos proporcionados por el usuario durante el procesamiento de archivos FLI, lo que puede resultar en operaciones de escritura más allá de los límites de los buffers de memoria asignados.
La vulnerabilidad se informó al proveedor el 9 de marzo de 2025 y permite a los atacantes crear archivos FLI (animación FLIC) maliciosos que activan la escritura fuera de límites cuando son procesados por GIMP.
La explotación exitosa permite la ejecución remota de código en el contexto del proceso actual, otorgando a los atacantes los mismos privilegios que el usuario que ejecuta GIMP.
Mitigación
Ambas vulnerabilidades se abordaron en la versión 3.0.0 de GIMP, que se lanzó el 16 de marzo de 2025, aproximadamente tres semanas antes de la divulgación pública.
El equipo de desarrollo de GIMP implementó mecanismos de validación de entrada adecuados para evitar condiciones de desbordamiento de enteros y operaciones de escritura fuera de límites en las rutinas de análisis de archivos.
Los proveedores de seguridad han comenzado a lanzar parches para sus respectivas distribuciones. SUSE publicó una actualización de seguridad el 13 de mayo de 2025, que aborda específicamente CVE-2025-2761 para entornos SUSE Linux Enterprise Server.
Amazon Linux ha clasificado ambas vulnerabilidades en su sistema de aviso de seguridad, con los paquetes adicionales de GIMP de Amazon Linux 2 marcados como «No afectados».
Se recomienda encarecidamente a los usuarios que actualicen inmediatamente a GIMP 3.0.0 o versiones posteriores para mitigar estas vulnerabilidades.
Es imperativo que las organizaciones implementen programas de capacitación en seguridad para concienciar a los usuarios sobre los riesgos asociados con la apertura de archivos de imagen no confiables. Esto es crucial, ya que ambas vulnerabilidades requieren la interacción del usuario para su explotación exitosa.
