Radarhere

Nome do Software Vulnerável e Versões Afetadas: Versões do Pillow 11.2.0 a 11.2.x Descrição: O problema é um estouro de buffer na heap que ocorre ao escrever uma imagem suficientemente grande no formato DDS. Isso acontece porque a biblioteca escreve em um buffer sem verificar o espaço disponível. A questão afeta apenas usuários que salvam dados não confiáveis como uma imagem DDS compactada. Recomendações: Para as versões do Pillow 11.2.0 a 11.2.x, atualize para a versão 11.3.0 para resolver o problema. Como medida temporária, considere evitar salvar dados não confiáveis como imagens DDS compactadas até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Pillow anteriores à 9.0.1 **Descrição** O problema está relacionado ao tratamento incorreto de espaços em nomes de caminhos temporários, o que pode ser explorado por invasores para excluir arquivos. Isso pode levar a problemas de integridade de dados e, potencialmente, causar uma negação de serviço. A vulnerabilidade pode ser explorada remotamente. **Recomendações** Para versões anteriores à 9.0.1, atualize para a versão 9.0.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a arquivos e diretórios temporários para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Pillow anteriores à 6.2.2 **Descrição** O problema está relacionado a um estouro de buffer no modo PCX P da biblioteca Pillow durante a codificação de imagens. Isso poderia permitir que um invasor remoto causasse uma negação de serviço. **Recomendações** Para versões anteriores à 6.2.2, atualize para a versão 6.2.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Pillow anteriores à 6.2.2 **Descrição** O problema está relacionado a um estouro de buffer na função `libImaging/FliDecode.c` da biblioteca de processamento de imagens Pillow. Esse estouro de buffer pode ser explorado por um invasor remoto para obter acesso a informações confidenciais ou causar uma negação de serviço. A vulnerabilidade está associada à leitura além dos limites permitidos de um buffer de dados. **Recomendações** Para versões do Pillow anteriores à 6.2.2, atualize para a versão 6.2.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função `libImaging/FliDecode.c` até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Pillow anteriores à 6.2.2 **Descrição** O problema está relacionado a um estouro de inteiro na decodificação de TIFF no arquivo libImaging/TiffDecode.c da biblioteca Pillow. Esse estouro está associado à função `realloc`. A exploração dessa vulnerabilidade poderia permitir que um invasor remoto causasse uma negação de serviço. **Recomendações** Para versões anteriores à 6.2.2, atualize para a versão 6.2.2 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso da função `libImaging/TiffDecode.c` para decodificação de TIFF até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Pillow anteriores à 6.2.2 **Descrição** O problema está relacionado a um estouro de buffer no processo de decodificação SGI RLE. Isso pode permitir que um invasor remoto provoque uma negação de serviço. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões anteriores à 6.2.2, atualize para a versão 6.2.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do módulo `libImaging/SgiRleDecode.c` até que um patch esteja disponível. Evite usar a função de decodificação SGI RLE na biblioteca afetada até que o problema seja resolvido.