Специалисты по безопасности зафиксировали опасную ошибку в популярной библиотеке для обработки изображений Python Pillow. Проблема получила идентификаторы BDU:2026-05702 и CVE-2026-25990. Она затронула все версии до 12.1.1 включительно. По данным Банка данных угроз безопасности информации (BDU), уязвимость относится к типу записи за границами буфера в памяти (CWE-787). Эксплуатация этой ошибки позволяет злоумышленнику удалённо выполнить произвольный код. Разработчики уже выпустили исправление, но пользователям настоятельно рекомендуют обновить программное обеспечение.
Детали уязвимости
Уязвимость зафиксирована на критическом уровне опасности. Базовая оценка по стандарту CVSS 2.0 составила 10 из 10, а по версии CVSS 3.1 - 9,8 из 10. Это означает максимальную угрозу для целостности, конфиденциальности и доступности данных. Атакующему не требуется никаких специальных привилегий или участия пользователя. Достаточно отправить специально сформированное изображение, которое обрабатывается уязвимой библиотекой.
Механизм атаки основан на манипулировании структурами данных. Злоумышленник может внедрить вредоносный код в память системы через обработку графического файла. После этого код выполняется с правами приложения, использующего библиотеку. Это открывает путь к полной компрометации устройства - от кражи информации до установки программ-вымогателей (ransomware) или шпионских модулей (malicious payload). Наличие готового эксплойта пока уточняется, но эксперты не исключают его скорого появления в открытом доступе.
Особую тревогу вызывает тот факт, что Python Pillow входит в состав операционной системы РЕД ОС версии 8.0. Данная система разработана ООО «Ред Софт» и включена в единый реестр российских программ (номер 3751). Таким образом, атака может затронуть государственные учреждения, коммерческие организации и инфраструктурные объекты, использующие эту платформу. Производитель уже подтвердил уязвимость и подготовил соответствующие патчи.
Разработчики Python Pillow уже выпустили версию 12.1.1, в которой проблема полностью устранена. Соответствующие коммиты доступны в репозитории проекта на GitHub. Пользователям настоятельно рекомендуют как можно скорее обновить библиотеку до актуальной версии. Для пользователей РЕД ОС 8.0 компания «Ред Софт» подготовила отдельную инструкцию по обновлению через внутреннюю систему поиска уязвимостей.
Специалисты напоминают, что библиотека Pillow широко используется в веб-приложениях, системах автоматизации и серверных решениях. Даже если ваше приложение не работает с РЕД ОС, уязвимость остаётся опасной. Любая программа, загружающая изображения из внешних источников, становится потенциальной целью. Не откладывайте обновление на потом.
К счастью, способ устранения довольно прост. Нужно лишь заменить старую версию Pillow на версию 12.1.1 или новее. Ссылки на обновления и патчи приведены в официальном бюллетене BDU. Данная уязвимость - не просто технический инцидент. Это сигнал о необходимости регулярного аудита используемых компонентов. Многие организации забывают обновлять сторонние библиотеки, полагаясь на стабильность старых версий. Однако именно такой подход делает системы уязвимыми перед атаками нового поколения.
Ссылки
- https://bdu.fstec.ru/vul/2026-05702
- https://www.cve.org/CVERecord?id=CVE-2026-25990
- http://www.openwall.com/lists/oss-security/2026/02/12/1
- https://github.com/python-pillow/Pillow
- https://github.com/python-pillow/Pillow/commit/54ba4db542ad3c7b918812a4e2d69c27735a3199
- https://github.com/python-pillow/Pillow/commit/9000313cc5d4a31bdcdd6d7f0781101abab553aa
- https://github.com/python-pillow/Pillow/pull/9427
- https://github.com/python-pillow/Pillow/security/advisories/GHSA-cfh3-3jmp-rvhc
- https://nvd.nist.gov/vuln/detail/CVE-2026-25990
- https://pillow.readthedocs.io/en/stable/releasenotes/12.1.1.html
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-25990
