Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

BDU:2024-00775

CVSS: 8.1
10.12.2023

Уязвимость функции eval() модуля ImageMath библиотеки для работы с изображениями Pillow, позволяющая нарушителю выполнить произвольный код

Уязвимость функции eval() модуля ImageMath библиотеки для работы с изображениями Pillow связана с неверным управлением генерацией кода при обработке параметра environment. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 10.12.2023
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Существует в открытом доступе
Способ эксплуатации: Инъекция
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций:
Для Pillow:
https://github.com/python-pillow/Pillow/releases
https://github.com/python-pillow/Pillow/commit/45c726fd4daa63236a8f3653530f297dc87b160a
https://pillow.readthedocs.io/en/stable/releasenotes/10.2.0.html#security
https://github.com/python-pillow/Pillow/pull/7655

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения pillow до версии 5.4.1-2+deb10u4.osnova1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2392

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2392

Для ОС Astra Linux:
обновить пакет pillow до 5.4.1-2+deb10u6.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет pillow до 5.4.1-2+deb10u6.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-94 Некорректное управление генерированием кода (внедрение кода)

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2023-50447 Pillow through 10.1.0 allows PIL.ImageMath.eval Arbitrary Code Execution via the environment parameter, a different vulnerabi...

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО
Идентификатор Дата бюллетеня Описание
VULN:20250730-17 30.07.2025 Выполнение произвольного кода в Schneider Electric EcoStruxure Power Operation

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
7.6 HIGH 2.0 AV:N/AC:H/Au:N/C:C/I:C/A:C
8.1 HIGH 3.0 AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2023-50447
Вендор:
  • ООО «Ред Софт»
  • ООО «РусБИТех-Астра»
  • АО «НТЦ ИТ РОСА»
  • Uploadcare, LLC
  • АО "НППКТ"
Тип ПО:
  • Операционная система
  • Прикладное ПО информационных систем
Наименование ПО:
  • РЕД ОС
  • Astra Linux Special Edition
  • РОСА Кобальт
  • Pillow
  • ОСОН ОСнова Оnyx
Версия ПО:
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • 4.7 (Astra Linux Special Edition)
  • 7.9 (РОСА Кобальт)
  • до 10.1.0 включительно (Pillow)
  • до 2.10 (ОСОН ОСнова Оnyx)
ОС и аппаратные платформы:
  • РЕД ОС (7.3)
  • Astra Linux Special Edition (1.7)
  • Astra Linux Special Edition (4.7)
  • РОСА Кобальт (7.9)
  • ОСОН ОСнова Оnyx (до 2.10)
Ссылки на источники:

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.