PT-2021-11820 · Pillow+9 · Pillow+9

Publicado

2021-01-12

·

Atualizado

2024-06-15

·

CVE-2020-35655

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
**Nome do software vulnerável e versões afetadas:
Versões do Pillow anteriores à 8.1.0
Descrição:
O problema decorre de uma leitura excessiva de 4 bytes no buffer da função SGIRleDecode ao decodificar arquivos de imagem SGI RLE especialmente criados. Isso ocorre devido ao tratamento incorreto de deslocamentos e tabelas de comprimento.
Recomendações:
Para versões do Pillow anteriores à 8.1.0, atualize para a versão 8.1.0 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso da função SGIRleDecode para decodificar arquivos de imagem SGI RLE até que um patch seja aplicado.

Correção

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

ALSA-2021:4149
ALT-PU-2021-1389
BIT-PILLOW-2020-35655
CESA-2021_4149
CVE-2020-35655
GHSA-HF64-X4GQ-P99H
OESA-2021-1127
OESA-2021-1146
OPENSUSE-SU-2021:1134-1
OPENSUSE-SU-2021_1134-1
OPENSUSE-SU-2024:11209-1
OPENSUSE-SU-2024:13827-1
PYSEC-2021-71
RHSA-2021:4149
RHSA-2021_4149
RLSA-2021:4149
SUSE-SU-2021:1938-1
USN-4697-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Pillow
Red Hat
Rocky Linux
Suse
Ubuntu