Pillow has an OOB Write with Invalid PSD Tile Extents (Integer Overflow) — CVE-2026-42311
GitHub · GitHub · CVE-2026-42311
ID
CVE-2026-42311
CVE-2026-42311
Date
Mis à jour
Activity
Source
GitHub
GitHub
Fournisseur
GitHub
GitHub
Risque
high
high
CVSS
8.6
8.6
EPSS
0.00015
0.00015
Résumé
### Impact Processing a malicious PSD file could lead to memory corruption, potentially resulting in a crash or arbitrary code execution. ### Patches Patched version: 12.2.0 Pillow 12.1.1 addressed CVE-2026-25990 by adding checks for tile extents in PSD image decoding/encoding to prevent an out-of-bounds write. However, the bounds checks computed tile extent sums using types susceptible to integer overflow, meaning…
Produit
pip: pillow
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.