Múltiples vulnerabilidades en OFFIS DCMTK
DCMTK, todas las versiones anteriores a 3.6.7.
Noam Moshe de Claroty ha reportado 3 vulnerabilidades, 2 de severidad alta y 1 media, que podría permitir a un atacante provocar una condición de denegación de servicio (DoS), escribir archivos DICOM especialmente diseñados en directorios arbitrarios y realizar ejecución remota de código (RCE).
OFFIS recomienda a sus usuarios que actualicen a la versión 3.6.7 o posteriores.
Los proveedores de clases de servicio (SCP) y de usuario (SCU) del producto afectado son vulnerables a la limitación incorrecta de la ruta a un directorio restringido (path traversal), lo que podría permitir a un atacante escribir archivos DICOM en directorios arbitrarios o ejecutar código remoto. Se han asignado los identificadores CVE-2022-2119 y CVE-2022-2120 para estas vulnerabilidades altas.
Para la vulnerabilidad media se ha asignado el identificador CVE-2022-2121.
