CVE-2026-28231
CriticalSummary
Biblioteka pillow_heif, używana do pracy z obrazami HEIF, zawiera błąd przepełnienia całkowitego w walidacji bufora, który pozwala atakującemu na ominięcie kontroli granic poprzez podanie dużych wymiarów obrazu. Może to prowadzić do ujawnienia informacji lub awarii procesu.
Risk Assessment
Organizacja może być narażona na wyciek pamięci serwera lub awarię usługi, co może wpłynąć na dostępność i bezpieczeństwo danych.
Recommendation
Zaleca się aktualizację biblioteki pillow_heif do wersji 1.3.0 lub nowszej, aby usunąć tę podatność.
Original NVD description (English source)
pillow_heif is a Python library for working with HEIF images and plugin for Pillow. Prior to version 1.3.0, an integer overflow in the encode path buffer validation of `_pillow_heif.c` allows an attacker to bypass bounds checks by providing large image dimensions, resulting in a heap out-of-bounds read. This can lead to information disclosure (server heap memory leaking into encoded images) or denial of service (process crash). No special configuration is required — this triggers under default settings. Version 1.3.0 fixes the issue.

