Katalog CVE

CVE-2026-28231

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Biblioteka pillow_heif, używana do pracy z obrazami HEIF, zawiera błąd przepełnienia całkowitego w walidacji bufora, który pozwala atakującemu na ominięcie kontroli granic poprzez podanie dużych wymiarów obrazu. Może to prowadzić do ujawnienia informacji lub awarii procesu.

Ocena ryzyka

Organizacja może być narażona na wyciek pamięci serwera lub awarię usługi, co może wpłynąć na dostępność i bezpieczeństwo danych.

Rekomendacja

Zaleca się aktualizację biblioteki pillow_heif do wersji 1.3.0 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

pillow_heif is a Python library for working with HEIF images and plugin for Pillow. Prior to version 1.3.0, an integer overflow in the encode path buffer validation of `_pillow_heif.c` allows an attacker to bypass bounds checks by providing large image dimensions, resulting in a heap out-of-bounds read. This can lead to information disclosure (server heap memory leaking into encoded images) or denial of service (process crash). No special configuration is required — this triggers under default settings. Version 1.3.0 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS