Dziewięć krytycznych podatności w DICOM Orthanc
W otwartoźródłowym serwerze DICOM Orthanc zidentyfikowano dziewięć krytycznych podatności bezpieczeństwa (CVSS do 9,8), które mogą prowadzić do awarii systemu, wycieku wrażliwych danych medycznych oraz zdalnego wykonania dowolnego kodu. Najpoważniejsza podatność (CVE-2026-5442) dotyczy błędu w obsłudze obrazów DICOM i stwarza wysokie ryzyko przejęcia kontroli nad podatnym serwerem. Zalecana jest niezwłoczna aktualizacja oprogramowania.
Otwarto źródłowy serwer Digital Imaging and Communications in Medicine (DICOM) Orthanc jest podatny na dziewięć krytycznych podatności:
- CVE-2026-5437,
- CVE-2026-5438,
- CVE-2026-5439,
- CVE-2026-5440,
- CVE-2026-5441,
- CVE-2026-5442,
- CVE-2026-5443,
- CVE-2026-5444,
- CVE-2026-5445.
Najpoważniejsza z nich (CVE-2026-5442) umożliwia atakującym powodowanie awarii serwera, wyciek danych oraz zdalne wykonywanie dowolnego kodu.
Orthanc to otwarto źródłowy serwer DICOM, oprogramowanie służące do przechowywania, przetwarzania, udostępniania i integrowania obrazów medycznych zgodnych ze standardem Digital Imaging and Communications in Medicine (DICOM).
Charakterystyka podatności CVE-2026-5442
CVSS 3.1:9,8 (Critical)
Jak działa podatność
CVE-2026-5442 to krytyczna podatność typu heap buffer overflow w serwerze Orthanc. Występuje w module dekodowania obrazów DICOM. Błąd wynika z nieprawidłowego przetwarzania metadanych opisujących wymiary obrazu, gdzie zamiast oczekiwanego formatu, używany jest alternatywny typ danych, który pozwala na podanie bardzo dużych wartości wymiarów. Podczas obliczania rozmiaru bufora dochodzi do jego przepełnienia, co skutkuje alokacją zbyt małego obszaru pamięci, a następnie zapisem danych poza jego granicami.
Podatne systemy
Orthanc DICOM Server w wersjach do 1.12.10 (włącznie)
Rekomendowane działania
Aktualizacja oprogramowania do wersji 1.12.11 lub wyższej.