PT-2020-5161 · Pillow+1 · Pillow+1

Radarhere

·

Publicado

2020-01-02

·

Atualizado

2024-03-06

·

CVE-2020-5310

CVSS v4.0

9.3

Crítica

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Pillow anteriores à 6.2.2
Descrição
O problema está relacionado a um estouro de inteiro na decodificação de TIFF no arquivo libImaging/TiffDecode.c da biblioteca Pillow. Esse estouro está associado à função realloc. A exploração dessa vulnerabilidade poderia permitir que um invasor remoto causasse uma negação de serviço.
Recomendações
Para versões anteriores à 6.2.2, atualize para a versão 6.2.2 ou posterior para resolver o problema.
Como solução temporária, considere evitar o uso da função libImaging/TiffDecode.c para decodificação de TIFF até que um patch seja aplicado.

Correção

Integer Overflow

Heap Based Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-190CWE-122

Identificadores relacionados

BDU:2020-05772
BIT-PILLOW-2020-5310
CVE-2020-5310
GHSA-VCQG-3P29-XW73
MGASA-2020-0088
PYSEC-2020-81
USN-4272-1

Produtos afetados

Pillow
Ubuntu