Pillow_heif — это библиотека Python для работы с изображениями HEIF и плагин для Pillow. До версии 1.3.0 переполнение целого числа при проверке буфера пути кодирования `_pillow_heif.c` позволяло злоумышленнику обойти проверку границ, предоставляя большие размеры изображения, что приводило к чтению кучи за пределами границ. Это может привести к раскрытию информации (утечке кучи сервера в закодированные изображения) или отказу в обслуживании (сбою процесса).
Никакой специальной настройки не требуется — это срабатывает при настройках по умолчанию. Версия 1.3.0 устраняет проблему.
Показать оригинальное описание (EN)
pillow_heif is a Python library for working with HEIF images and plugin for Pillow. Prior to version 1.3.0, an integer overflow in the encode path buffer validation of `_pillow_heif.c` allows an attacker to bypass bounds checks by providing large image dimensions, resulting in a heap out-of-bounds read. This can lead to information disclosure (server heap memory leaking into encoded images) or denial of service (process crash). No special configuration is required — this triggers under default settings. Version 1.3.0 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0