ГлавнаяБаза уязвимостей БДУ → BDU:2024-00775
7.6высокая

BDU:2024-00775 (CVE-2023-50447)

Уязвимость функции eval() модуля ImageMath библиотеки для работы с изображениями Pillow, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-01-30
Описание

Уязвимость функции eval() модуля ImageMath библиотеки для работы с изображениями Pillow связана с неверным управлением генерацией кода при обработке параметра environment. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)РОСА Кобальт (7.9)Astra Linux Common Edition (1.6 «Смоленск»)АЛЬТ СП 10Pillow (до 10.1.0 включительно)ОСОН ОСнова Оnyx (до 2.10)
Способ устранения

Использование рекомендаций:
Для Pillow:
https://github.com/python-pillow/Pillow/releases
https://github.com/python-pillow/Pillow/commit/45c726fd4daa63236a8f3653530f297dc87b160a
https://pillow.readthedocs.io/en/stable/releasenotes/10.2.0.html#security
https://github.com/python-pillow/Pillow/pull/7655

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения pillow до версии 5.4.1-2+deb10u4.osnova1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2392

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2392

Для ОС Astra Linux:
обновить пакет pillow до 5.4.1-2+deb10u6.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет pillow до 5.4.1-2+deb10u6.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства:https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
обновить пакет pillow до 4.0.0-4+deb9u6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://pillow.readthedocs.io/en/stable/reference/ImageMath.htmlhttps://vuldb.com/ru/?id.251641https://github.com/advisories/GHSA-3f63-hfp8-52jqhttp://www.openwall.com/lists/oss-security/2024/01/20/1https://devhub.checkmarx.com/cve-details/CVE-2023-50447/https://duartecsantos.github.io/2023-01-02-CVE-2023-50447/https://github.com/python-pillow/Pillow/releaseshttps://github.com/python-pillow/Pillow/pull/7655
Проверьте безопасность своего сайта и почты → Полная проверка домена