CVE-2026-59200 in Pillow
要約
〜によって VulDB • 2026年07月14日
PillowはPythonの画像処理ライブラリです。5.1.0から12.3.0まで、PIL/PdfParser.py内のPdfParser.PdfStream.decode()関数は、zlib.decompress()を呼び出す際にbufsizeパラメータにPDFストリームのLengthフィールド値を設定していますが、展開後の出力サイズに上限制限をかけていません。このため、悪意のあるFlateDecode形式のPDFストリームを含む小さなファイルによってメモリが枯渇する可能性があります。本問題はバージョン12.3.0で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.