CVE-2026-59200 in Pillow
요약
\~에 의해 VulDB • 2026. 07. 14.
Pillow은 Python용 이미지 처리 라이브러리입니다. 버전 5.1.0부터 12.3.0까지 PIL/PdfParser.py의 PdfParser.PdfStream.decode() 함수는 zlib.decompress()를 호출할 때 bufsize 매개변수를 PDF 스트림의 Length 필드 값으로 설정하지만, 압축 해제된 출력 크기에 대한 상한선을 두지 않습니다. 이로 인해 작은 파일로부터 FlateDecode가 적용된 악성 PDF 스트림을 생성하여 메모리 고갈(Exhaustion)을 유발할 수 있습니다. 이 문제는 버전 12.3.0에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.