CVE-2026-42310Python图像处理库Pillow在4.2.0至12.2.0之前的版本中存在安全漏洞。攻击者可以通过提供特制的恶意PDF文件,触发应用程序处理进程陷入无限循环。该问题会导致目标系统CPU资源被100%占用,从而使应用程序失去响应,造成拒绝服务攻击。该漏洞已在12.2.0版本中修复,建议用户尽快升级以避免潜在的服务中断风险。
该漏洞属于拒绝服务漏洞,其根本原因在于Pillow库对特定格式的PDF文件解析逻辑存在缺陷。在受影响的版本中,当应用程序使用Pillow处理恶意构造的PDF文件时,解析器未能正确处理某些特定的数据结构或边界条件,导致程序逻辑陷入无限循环。由于攻击向量为本地(AV:L)且无需用户交互(UI:N),拥有低权限(PR:L)的本地攻击者即可诱导应用程序加载该恶意文件。一旦触发,受影响的进程将持续消耗全部CPU计算资源,导致系统资源耗尽或应用程序挂起,无法处理正常请求。虽然该漏洞不影响数据的机密性和完整性,但对可用性造成严重影响。