Múltiples vulnerabilidades en OFFIS DCMTK

Fecha de publicación: 27/06/2022

Importancia:
Alta

Recursos afectados:

DCMTK, todas las versiones anteriores a 3.6.7.

Descripción:

Noam Moshe de Claroty ha reportado 3 vulnerabilidades, 2 de severidad alta y 1 media, que podría permitir a un atacante provocar una condición de denegación de servicio (DoS), escribir archivos DICOM especialmente diseñados en directorios arbitrarios y realizar ejecución remota de código (RCE).

Solución:

OFFIS recomienda a sus usuarios que actualicen a la versión 3.6.7 o posteriores.

Detalle:

Los proveedores de clases de servicio (SCP) y de usuario (SCU) del producto afectado son vulnerables a la limitación incorrecta de la ruta a un directorio restringido (path traversal), lo que podría permitir a un atacante escribir archivos DICOM en directorios arbitrarios o ejecutar código remoto. Se han asignado los identificadores CVE-2022-2119 y CVE-2022-2120 para estas vulnerabilidades altas.

Para la vulnerabilidad media se ha asignado el identificador CVE-2022-2121.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Sanidad, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.