JVNDB-2026-005763

psd-tools projectのpsd-toolsにおける複数の脆弱性

psd-toolsはAdobe PhotoshopのPSDファイルを扱うためのPythonパッケージです。バージョン1.12.2以前では、PSDファイルに不正なRLE圧縮画像データ（例えば、期待される行サイズを超えるリテラルラン）が含まれている場合、decode_rle()がValueErrorを発生させ、このエラーがユーザーまで伝播して、psd.composite()やpsd-toolsのエクスポート処理がクラッシュしていました。decompress()は結果がNoneの場合に失敗したチャネルを黒いピクセルで置き換えるフォールバック機能を持っていましたが、decode_rle()からのValueErrorが捕捉されなかったためにこのフォールバック機能は発動しませんでした。バージョン1.12.2の修正では、decode_rle()の呼び出しをtry/exceptで包み、既存のフォールバックがエラーを適切に処理するようにしました。

psd-tools project

• psd-tools 1.12.2 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Compression module: unguarded zlib decompression, missing dimension validation, and minor hardening gaps  Advisory  psd-tools/psd-tools  GitHub

1. 整数オーバーフローまたはラップアラウンド(CWE-190) [その他]
2. 高圧縮データの不適切な処理 (データ増幅)(CWE-409) [その他]
3. 到達可能なアサーション(CWE-617) [その他]
4. 不正な型変換またはキャスト(CWE-704) [その他]
5. 例外的な状態における不適切な処理(CWE-755) [その他]
6. 過剰なサイズ値のメモリ割り当て(CWE-789) [その他]

1. CVE-2026-27809

1. National Vulnerability Database (NVD) : CVE-2026-27809
2. 関連文書 : Release Release v1.12.2  psd-tools/psd-tools  GitHub
3. 関連文書 : Fix compression security issues (GHSA-24p2-j2jr-386w) (#549)  psd-tools/psd-tools@6c0a78f  GitHub

• [2026年03月04日]
    掲載