개요
python pillow 패키지에서 발생하는 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2023-50447
- python pillow 패키지 10.1.0 이하의 버전
CVE-2022-22817
- python pillow 패키지 9.0.0 미만의 버전
해결된 취약점
환경 매개변수를 통한 PIL.ImageMath.eval 임의 코드 실행 취약점 (CVE-2023-50447)
Python exec 메서드를 사용하는 것과 같은 임의의 표현식을 평가할 수 있는 취약점 (CVE-2022-22817)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2023-50447
- python pillow 패키지 10.2.0 버전
CVE-2022-22817
- python pillow 패키지 9.0.0 버전
참고 사이트
[1] CVE-2023-50447 Detail
https://nvd.nist.gov/vuln/detail/CVE-2023-50447
[2] Arbitrary Code Execution in Pillow
https://duartecsantos.github.io/2023-01-02-CVE-2023-50447/
[3] CVE-2022-22817 Detail
https://nvd.nist.gov/vuln/detail/CVE-2022-22817#range-10126667
[4] Fredrik Lundh
https://pillow.readthedocs.io/en/stable/releasenotes/9.0.0.html#restrict-builtins-available-to-imagemath-eval