PT-2022-6570 · Pypi+2 · Pillow+2
Hugovk
·
Publicado
2022-11-07
·
Atualizado
2024-03-06
·
CVE-2022-45199
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
As versões do Pillow de 9.2.0 a 9.2.x e anteriores à 9.3.0 podem ser resumidas como:
Versões do Pillow de 9.2.0 a 9.3.0; porém, como a 9.3.0 é a versão corrigida, a descrição correta é:
Versões do Pillow anteriores à 9.3.0
Descrição
O problema está relacionado ao tratamento da decodificação de imagens pela biblioteca Pillow, especificamente no módulo TiffImagePlugin.py. Um valor grande na tag
SAMPLESPERPIXEL pode levar a um ataque de negação de serviço, causando esgotamento de memória e tempo de execução ao configurar o contexto para a decodificação de imagens.Recomendações
Para versões do Pillow anteriores à 9.3.0, atualize para a versão 9.3.0 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o uso do módulo
TiffImagePlugin.py ou limitar o valor da tag SAMPLESPERPIXEL para evitar a exploração.Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Pillow
Red Os