PT-2026-32580 · Pypi · Pillow

Publicado

2024-03-25

·

Atualizado

2026-05-22

·

CVE-2026-40192

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Name of the Vulnerable Software and Affected Versions Pillow versões 10.3.0 até 12.1.1
Description A falta de limites na quantidade de dados compactados com GZIP lidos ao decodificar uma imagem FITS permite ataques de bomba de descompressão. Um arquivo FITS especialmente criado pode causar consumo ilimitado de memória, resultando em negação de serviço por meio de um travamento OOM (Out of Memory) ou degradação severa do desempenho.
Recommendations Atualizar para a versão 12.2.0. Como solução temporária, abra apenas formatos de imagem específicos, excluindo FITS.

Correção

DoS

Allocation of Resources Without Limits

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-770CWE-400

Identificadores relacionados

BDU:2026-05627
BIT-PILLOW-2026-40192
CVE-2026-40192
ECHO-1C52-724C-58AD
GHSA-WHJ4-6X5X-4V2J
OESA-2026-2064
OESA-2026-2065
OESA-2026-2066
OPENSUSE-SU-2026:10575-1
OPENSUSE-SU-2026:20617-1
USN-8211-1

Produtos afetados

Pillow