PT-2022-6483 · Pillow+5 · Pillow+5

Radarhere

·

Publicado

2022-02-09

·

Atualizado

2025-01-14

·

CVE-2022-24303

CVSS v2.0

9.4

Crítica

VetorAV:N/AC:L/Au:N/C:N/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do Pillow anteriores à 9.0.1
Descrição
O problema está relacionado ao tratamento incorreto de espaços em nomes de caminhos temporários, o que pode ser explorado por invasores para excluir arquivos. Isso pode levar a problemas de integridade de dados e, potencialmente, causar uma negação de serviço. A vulnerabilidade pode ser explorada remotamente.
Recomendações
Para versões anteriores à 9.0.1, atualize para a versão 9.0.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a arquivos e diretórios temporários para minimizar o risco de exploração.

Correção

Out of bounds Read

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125CWE-22

Identificadores relacionados

ALT-PU-2022-1236
ALT-PU-2023-7942
ALT-PU-2023-8182
BDU:2023-01714
BIT-PILLOW-2022-24303
CVE-2022-24303
GHSA-9J59-75QJ-795W
MGASA-2022-0166
OESA-2022-1540
OESA-2022-2086
OPENSUSE-SU-2024:11814-1
OPENSUSE-SU-2025:14645-1
PYSEC-2022-168
USN-5777-1
USN-5777-2

Produtos afetados

Alt Linux
Astra Linux
Debian
Linuxmint
Pillow
Ubuntu