CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-28231

Critical
Published: Translated: NVD NIST

Summary

Biblioteka pillow_heif, używana do pracy z obrazami HEIF, zawiera błąd przepełnienia całkowitego w walidacji bufora, który pozwala atakującemu na ominięcie kontroli granic poprzez podanie dużych wymiarów obrazu. Może to prowadzić do ujawnienia informacji lub awarii procesu.

Risk Assessment

Organizacja może być narażona na wyciek pamięci serwera lub awarię usługi, co może wpłynąć na dostępność i bezpieczeństwo danych.

Recommendation

Zaleca się aktualizację biblioteki pillow_heif do wersji 1.3.0 lub nowszej, aby usunąć tę podatność.

Original NVD description (English source)

pillow_heif is a Python library for working with HEIF images and plugin for Pillow. Prior to version 1.3.0, an integer overflow in the encode path buffer validation of `_pillow_heif.c` allows an attacker to bypass bounds checks by providing large image dimensions, resulting in a heap out-of-bounds read. This can lead to information disclosure (server heap memory leaking into encoded images) or denial of service (process crash). No special configuration is required — this triggers under default settings. Version 1.3.0 fixes the issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS