Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2022-22815

Опубликовано: 02 янв. 2022
Источник: redhat
CVSS3: 6.5
EPSS Низкий

Описание

path_getbbox in path.c in Pillow before 9.0.0 improperly initializes ImagePath.Path.

A flaw was found in python-pillow. The vulnerability occurs due to improper initialization of image paths, leading to improperly initializing the ImagePath. This flaw allows an attacker to access unauthorized memory that causes memory access errors, incorrect results, or crashes.

Отчет

Red Hat Quay ships a vulnerable version of Pillow as a dependency of xhtml2pdf. The xhtml2pdf package is used in the invoice generation feature of Quay, however, the vulnerable ImagePath module is not used by xhtml2pdf. Therefore impact for Quay is rated Low.

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Enterprise Linux 7python-pillowOut of support scope
Red Hat Quay 3quay/quay-rhel8Affected
Red Hat Enterprise Linux 8python-pillowFixedRHSA-2022:064322.02.2022

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate
Дефект:
CWE-665->CWE-909
https://bugzilla.redhat.com/show_bug.cgi?id=2042511python-pillow: improperly initializes ImagePath.Path in path_getbbox() in path.c

EPSS

Процентиль: 28%
0.00095
Низкий

6.5 Medium

CVSS3

Связанные уязвимости

ubuntu логотип

CVE-2022-22815

CVSS3: 6.5
ubuntu
больше 3 лет назад

path_getbbox in path.c in Pillow before 9.0.0 improperly initializes ImagePath.Path.

nvd логотип

CVE-2022-22815

CVSS3: 6.5
nvd
больше 3 лет назад

path_getbbox in path.c in Pillow before 9.0.0 improperly initializes ImagePath.Path.

debian логотип

CVE-2022-22815

CVSS3: 6.5
debian
больше 3 лет назад

path_getbbox in path.c in Pillow before 9.0.0 improperly initializes I ...

github логотип

GHSA-pw3c-h7wp-cvhx

CVSS3: 6.5
github
больше 3 лет назад

Improper Initialization in Pillow

fstec логотип

BDU:2022-00581

CVSS3: 7.5
fstec
больше 3 лет назад

Уязвимость функции path_getbbox (path.c) библиотеки изображений Python Pillow, связанная с неверным ограничением пути к каталогу, позволяющая нарушителю получить доступ к произвольным файлам в системе

EPSS

Процентиль: 28%
0.00095
Низкий

6.5 Medium

CVSS3