CVE-2024-28219

EPSS 0.17%
Veröffentlicht 03.04.2024 03:15:09
Zuletzt bearbeitet 21.11.2024 09:06:02
Quelle cve@mitre.org
Teams Watchlist Login
Unerledigt Login

In _imagingcms.c in Pillow before 10.3.0, a buffer overflow exists because strcpy is used instead of strncpy.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 6

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch das CVE Programm von Authorized Data Publishers (ADP) (Unstrukturiert)

Herstellerfedoraproject

≫

Produkt fedora

Default Statusunknown

Version 39

Status affected

Herstellerpython

≫

Produkt pillow

Default Statusunknown

Version < 10.3.0

Version 0

Status affected

Herstellerdebian

≫

Produkt debian_linux

Default Statusunknown

Version 10.0

Status affected

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.17%	0.387

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
cve@mitre.org	6.7	0.8	5.9	CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

CWE-680 Integer Overflow to Buffer Overflow

The product performs a calculation to determine how much memory to allocate, but an integer overflow can occur that causes less memory to be allocated than expected, leading to a buffer overflow.

https://lists.debian.org/debian-lts-announce/2024/04/msg00008.html

https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4XLPUT3VK4GQ6EVY525TT2QNUIXNRU5M/

https://pillow.readthedocs.io/en/stable/releasenotes/10.3.0.html#security

https://nvd.nist.gov/vuln/detail/CVE-2024-28219

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2024-28219

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2024-28219

EUVD