关键漏洞信息 漏洞概述 安全等级: 中等 CVE ID: CVE-2026-27809 受影响版本: = 1.12.2 漏洞细节 1. 未保护的 zlib.decompress - ZIP bombe / 内存耗尽 - 位置: , 行159和162 - 影响: 拒绝服务 / 进程内存耗尽 - 建议缓解措施: 传递一个合理的最大长度值给 2. 图像尺寸分配前未进行上界验证 - 位置: , 行138和193 - 影响: 非对图像尺寸检查前进行内存分配, 导致无法控制的分配尝试和可能的硬崩溃 - 建议缓解措施: 在解压缩前对宽高深进行验证 3. assert 作为运行时完整性检查 - 位置: , 行170 - 影响: 在优化部署中失去完整性保护 - 建议缓解措施: 用明确的 If + Raise 替换 4. Cdef int 索引与 Py_ssize_t 大小类型不匹配在 Cython 解码器中 - 位置: , 行18-20 - 影响: 理论上可能导致无限循环或不确定行为 - 建议缓解措施: 用 替换 5. 未向调用者反馈的默默数据降级 - 位置: , 行144-157 - 影响: 悄悄返回错误图像无识别信号 - 建议缓解措施: 提供错误标记或特定警告类别 6. encode() 零长度返回类型不一致在 Cython 中 - 位置: , 行66-67 - 影响: 在未来 Cython 版本中可能导致不稳定故障 - 建议缓解措施: 使用已声明空字符串返回结果