Описание
Уязвимость библиотеки изображений Python Pillow
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета Pillow или Установить обновление для пакета(ов) Pillow
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
28.01.2022
CVE-2022-22817
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость библиотеки изображений Python Pillow связана с неправильным использованием функции PIL.ImageMath.eval() для произвольных выражений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать специально созданный файл в библиотеку и выполнить произвольный код в системе
9.8 Critical
CVSS3
10 Critical
CVSS2
CVE-2022-22816
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость библиотеки изображений Python Pillow связана с повторным чтением буфера во время инициализации ImagePath.Path в функции path_getbbox() в path.c. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать специально созданный файл в уязвимую библиотеку и прочитать содержимое памяти в системе
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2022-22815
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость библиотеки изображений Python Pillow связана с ошибкой проверки ввода при обработке последовательностей обхода каталога в функции path_getbbox() в path.c. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить специально созданный HTTP-запрос и прочитать произвольные файлы в системе
7.5 High
CVSS3
7.8 High
CVSS2