Pillow是一款基于Python的图像处理库。
Pillow 6.2.2之前版本中的libImaging/PcxDecode.c文件存在缓冲区错误漏洞,该漏洞源于程序没有正确检查边界。远程攻击者可借助特制PCX文件利用该漏洞在系统上执行任意代码。
Pillow是一款基于Python的图像处理库。
Pillow 7.1.0之前版本中的libImaging/FliDecode.c文件存在越界读取漏洞。目前没有详细的漏洞细节提供。
Pillow是一款基于Python的图像处理库。
Pillow 7.1.0之前版本中的libImaging/PcxDecode.c文件存在越界读取漏洞。目前没有详细的漏洞细节提供。
Pillow是一款基于Python的图像处理库。
Pillow 8.1.1之前版本存在缓冲区溢出漏洞,该漏洞源于在TiffDecode.c中存在一个大小无效的负偏移memcpy。目前没有详细的漏洞细节提供。
Pillow是一款基于Python的图像处理库。
Pillow 中存在缓冲区错误漏洞,该漏洞源于产品的convert .c未能验证参数的安全性,攻击者可通过该漏洞引发缓冲区溢出。以下产品及版本受到影响:Pillow 8.2.0 之前版本、PIL 1.1.7 之前版本。
Pillow越界读取漏洞( CNVD-2021-21941)
跨界内存读
Pillow是一款基于Python的图像处理库。
Pillow 7.1.0之前版本中的libImaging/PcxDecode.c文件存在越界读取漏洞。目前没有详细的漏洞细节提供。
Pillow是一款基于Python的图像处理库。
Pillow存在越界读取漏洞,攻击者可利用该漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃。
Pillow 是一个 PIL(Python Imaging Library)分支。此软件包的受影响版本容易受到拒绝服务 (DoS) 的攻击。
在大于或等于 1.0.3 和 3.5.0 之前的 jQuery 版本中,传递的 HTML 包含<option>来自不受信任来源的元素(即使在对其进行清理之后)到 jQuery 的 DOM 操作方法之一(即 .html()、.append() 等)可能会执行不受信任的代码。这个问题在 jQuery 3.5.0 中得到了修复。
在 5.3.1 之前版本的 PyYAML 库中发现了一个漏洞,当它通过 full_load 方法或使用 FullLoader 加载程序处理不受信任的 YAML 文件时,容易受到任意代码执行的影响。使用该库处理不受信任输入的应用程序可能容易受到此缺陷的影响。攻击者可以利用此漏洞通过滥用 python/object/new 构造函数在系统上执行任意代码。
Pillow是一款基于Python的图像处理库。
Pillow 7.1.0之前版本中的libImaging/TiffDecode.c文件存在缓冲区溢出漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。
** 有争议 ** NumPy 1.9.x 中 ctors.c 的 PyArray_NewFromDescr_int 函数中存在缓冲区溢出漏洞,当从 Python 代码中指定大维度(超过 32 个)数组时,这可能会让恶意用户导致拒绝服务。注意:供应商不同意这是一个漏洞;在(非常有限的)情况下,用户可能会引发缓冲区溢出,用户很可能已经拥有至少通过耗尽内存来引发拒绝服务的特权。进一步触发此操作需要使用不常见的 API(复杂的结构化数据类型),非特权用户不太可能使用该 API。
Pillow是一款基于Python的图像处理库。
Pillow Tiff图像文件处理存在缓冲区溢出漏洞,远程攻击者可利用该漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或者以应用程序上下文执行任意代码。
Python Imaging Library (PIL)是Python编程语言的免费库,支持打开、操作和保存多种图像文件格式。Pillow是一个PIL分支。
Pillow 8.2.0之前版本中的J2kDecode中的j2ku_gray_i函数存在越界读取漏洞。目前没有详细的漏洞细节提供。
NumPy是一个Python科学计算包,它支持大量的维度数组与矩阵计算,同时针对数据运算提供大量的数学函数库。
NumPy 1.16.0及之前版本中存在安全漏洞,该漏洞程序没有安全地使用pickle模块(Python)。远程攻击者可借助特制的序列化对象利用该漏洞执行任意代码。
Pillow存在未明漏洞
不加限制或调节的资源分配
Pillow是一款基于Python的图像处理库。
Pillow 6.2.0之前版本中存在安全漏洞,攻击者可利用该漏洞造成拒绝服务。
Pillow是一款基于Python的图像处理库。Pillow 9.0.1之前版本存在输入验证错误漏洞,该漏洞源于产品的remove操作未验证用户输入数据,攻击者可利用该漏洞删除文件。
Pillow 输入验证错误漏洞
整数溢出或超界折返
Pillow是一款基于Python的图像处理库。
Pillow 6.2.2之前版本中存在输入验证错误漏洞。攻击者可利用该漏洞造成拒绝服务(进程终止)。
Pillow是一款基于Python的图像处理库。
Pillow 8.1.0之前版本中存在缓冲区错误漏洞,当解码一个精心制作的PCX文件时,PoxDecode有一个缓冲区过读,因为缓冲区计算信任用户提供的stride值。
** DISPUTED ** NumPy < 1.19 中 fortranobject.c 的 array_from_pyobj 函数中的缓冲区溢出,这使得攻击者可以通过小心地构造具有负值的数组来进行拒绝服务攻击。注意:供应商不同意这是一个漏洞;负维度只能由已经拥有特权的用户(或内部)创建。
评论