Куда я попал?
BDU:2024-00775
CVSS: 8.1
10.12.2023
Уязвимость функции eval() модуля ImageMath библиотеки для работы с изображениями Pillow, позволяющая нарушителю выполнить произвольный код
Уязвимость функции eval() модуля ImageMath библиотеки для работы с изображениями Pillow связана с неверным управлением генерацией кода при обработке параметра environment. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Статус уязвимости: |
Подтверждена производителем
Уязвимость устранена
|
Дата выявления: | 10.12.2023 |
Класс уязвимости: | Уязвимость кода |
Наличие эксплойта: | Существует в открытом доступе |
Способ эксплуатации: | Инъекция |
Способ устранения: | Нет данных |
Меры по устранению: | Использование рекомендаций: Для Pillow: https://github.com/python-pillow/Pillow/releases https://github.com/python-pillow/Pillow/commit/45c726fd4daa63236a8f3653530f297dc87b160a https://pillow.readthedocs.io/en/stable/releasenotes/10.2.0.html#security https://github.com/python-pillow/Pillow/pull/7655 Для ОСОН ОСнова Оnyx (версия 2.10): Обновление программного обеспечения pillow до версии 5.4.1-2+deb10u4.osnova1 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2392 Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2392 Для ОС Astra Linux: обновить пакет pillow до 5.4.1-2+deb10u6.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17 Для ОС Astra Linux: обновить пакет pillow до 5.4.1-2+deb10u6.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47 |
Идентификатор типа ошибки
Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор | Описание |
---|---|
CWE-94 | Некорректное управление генерированием кода (внедрение кода) |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор | Описание |
---|---|
CVE-2023-50447 | Pillow through 10.1.0 allows PIL.ImageMath.eval Arbitrary Code Execution via the environment parameter, a different vulnerabi... |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
Идентификатор | Дата бюллетеня | Описание |
---|---|---|
VULN:20250730-17 | 30.07.2025 | Выполнение произвольного кода в Schneider Electric EcoStruxure Power Operation |
CVSS
Система общей оценки уязвимостей
Оценка | Severity | Версия | Базовый вектор |
---|---|---|---|
7.6 | HIGH | 2.0 | AV:N/AC:H/Au:N/C:C/I:C/A:C |
8.1 | HIGH | 3.0 | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Идентификаторы других систем описаний уязвимостей
CVE-2023-50447
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.