PT-2022-1453 · Pillow+10 · Pillow+10

Publicado

2022-01-07

·

Atualizado

2024-06-13

·

CVE-2022-22815

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Pillow anteriores à 9.0.0
Descrição
O problema está relacionado à função path getbbox no arquivo path.c do Pillow, que inicializa incorretamente ImagePath.Path. Isso pode ser explorado por um invasor remoto para acessar arquivos arbitrários no sistema, enviando uma solicitação HTTP especialmente criada. A vulnerabilidade está associada a uma restrição incorreta do caminho para o diretório.
Recomendações
Para versões anteriores à 9.0.0, atualize para a versão 9.0.0 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso à função path getbbox em path.c até que um patch esteja disponível.

Correção

Improper Initialization

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-665CWE-22

Identificadores relacionados

ALSA-2022:0643
ALT-PU-2022-1236
ALT-PU-2023-7942
ALT-PU-2023-8182
BDU:2022-00581
BIT-PILLOW-2022-22815
CESA-2022_0643
CVE-2022-22815
DLA-2893-1
DSA-5053-1
GHSA-PW3C-H7WP-CVHX
MGASA-2022-0166
OESA-2022-1526
OPENSUSE-SU-2024_1673-1
PYSEC-2022-8
RHSA-2022:0643
RHSA-2022_0643
RLSA-2022:0643
SUSE-SU-2022:1729-1
SUSE-SU-2024:1673-1
SUSE-SU-2024:1673-2
USN-5227-1
USN-5227-2

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Pillow
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu