漏洞总结 漏洞概述 漏洞名称: Pillow GZIP Decompression Bomb 漏洞编号: #9521 描述: 该漏洞涉及在解压GZIP数据时,只读取必要的数据,以防止潜在的GZIP炸弹攻击。 影响范围 受影响版本: Pillow >= 12.0 具体影响: 可能导致资源耗尽或拒绝服务攻击(DoS)。 修复方案 修复版本: Pillow 12.2.0 修复内容: - 在解压GZIP数据时,只读取必要的数据。 - 添加了解压大小限制。 POC代码/利用代码 相关代码: 其他信息 状态: 已合并 参与者: hugovk, radarhere, luketainton, Copilot AI, zdouall, nixpkgs-security-tracker 相关讨论: - Add decompression size limit to FITS gzip decoder #9475 - Fix stale uv.lock pillow specifier and correct CVE reference (GHSA-whj4-6x5x-4v2j) - Support for Pillow >= 12.0 (Dependency Conflict with Pillow 12.1.1) - Pillow is vulnerable to a FITS GZIP decompression bomb