PT-2020-6235 · Pillow+4 · Pillow+4

Radarhere

·

Publicado

2020-01-03

·

Atualizado

2024-03-06

·

CVE-2020-5313

CVSS v4.0

8.3

Alta

VetorAV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Pillow anteriores à 6.2.2
Descrição
O problema está relacionado a um estouro de buffer na função libImaging/FliDecode.c da biblioteca de processamento de imagens Pillow. Esse estouro de buffer pode ser explorado por um invasor remoto para obter acesso a informações confidenciais ou causar uma negação de serviço. A vulnerabilidade está associada à leitura além dos limites permitidos de um buffer de dados.
Recomendações
Para versões do Pillow anteriores à 6.2.2, atualize para a versão 6.2.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função libImaging/FliDecode.c até que um patch seja aplicado.

Correção

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

BDU:2021-03636
BIT-PILLOW-2020-5313
CESA-2020_3185
CESA-2020_3887
CVE-2020-5313
DLA-2057-1
DSA-4631-1
GHSA-HJ69-C76V-86WR
MGASA-2020-0088
PYSEC-2020-84
RHSA-2020:3185
RHSA-2020:3887
RHSA-2020_3185
RHSA-2020_3887
RLSA-2020:3185
SUSE-RU-2020:2072-1
SUSE-RU-2020:2161-1
SUSE-SU-2020:1901-1
SUSE-SU-2020:2057-1
USN-4272-1

Produtos afetados

Centos
Pillow
Red Hat
Rocky Linux
Ubuntu