PT-2021-6817 · Pillow+6 · Pillow+6

Liyuan Chen

·

Publicado

2021-09-03

·

Atualizado

2024-06-15

·

CVE-2021-23437

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Pillow de 5.2.0 a 8.3.2
Versões do Pillow anteriores à 8.3.2
Descrição
O problema está relacionado a uma negação de serviço por expressão regular (ReDoS) por meio da função getrgb, o que pode levar ao consumo descontrolado de recursos. Isso permite que um invasor remoto cause uma negação de serviço.
Recomendações
Para as versões do Pillow 5.2.0 a 8.3.2, atualize para uma versão posterior à 8.3.2 para resolver o problema.
Para as versões do Pillow anteriores à 8.3.2, atualize para uma versão posterior à 8.3.2 para resolver o problema.
Como solução temporária, considere desativar a função getrgb até que um patch esteja disponível.

Exploit

Correção

DoS

Resource Exhaustion

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400CWE-125

Identificadores relacionados

ALT-PU-2021-3028
ALT-PU-2023-7942
ALT-PU-2023-8182
BDU:2022-02242
BIT-PILLOW-2021-23437
CVE-2021-23437
DLA-3768-1
GHSA-98VV-PW6R-Q6Q4
MGASA-2021-0448
OESA-2021-1383
OPENSUSE-SU-2024:11209-1
OPENSUSE-SU-2024:13827-1
OPENSUSE-SU-2024_1673-1
PYSEC-2021-317
SNYK-PYTHON-PILLOW-1319443
SUSE-SU-2021:3234-1
SUSE-SU-2021:3235-1
SUSE-SU-2024:1673-1
SUSE-SU-2024:1673-2
USN-5227-1
USN-5227-2

Produtos afetados

Alt Linux
Astra Linux
Debian
Linuxmint
Pillow
Suse
Ubuntu