Plataforma
python
Componente
pydicom
Corregido en
2.0.1
3.0.2
La vulnerabilidad CVE-2026-32711 es un fallo de Path Traversal descubierto en la biblioteca pydicom, afectando a versiones 3.0.1 y anteriores. Un atacante puede manipular el archivo DICOMDIR para acceder a archivos fuera del directorio File-set, comprometiendo la integridad y confidencialidad de los datos. La vulnerabilidad ha sido resuelta en la versión 3.0.2, y se recomienda actualizar para mitigar el riesgo.
Este fallo de Path Traversal permite a un atacante leer o copiar archivos arbitrarios fuera del directorio File-set definido. Esto significa que un atacante podría acceder a información sensible almacenada en el sistema, como archivos de configuración, datos de usuarios o incluso código fuente. La manipulación del ReferencedFileID en el archivo DICOMDIR permite a un atacante eludir las comprobaciones de seguridad y acceder a recursos no autorizados. El impacto potencial es significativo, especialmente en entornos donde pydicom se utiliza para procesar datos médicos confidenciales, ya que podría resultar en la divulgación de información protegida por HIPAA o regulaciones similares.
La vulnerabilidad fue publicada el 2026-03-20. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza del fallo de Path Traversal la convierte en un objetivo atractivo para los atacantes. La disponibilidad de la corrección en la versión 3.0.2 reduce la probabilidad de explotación, pero es importante aplicar la actualización lo antes posible. No se encuentra en el KEV de CISA.
Systems utilizing pydicom for DICOM file processing, particularly those handling patient data or medical imaging archives, are at risk. Applications that dynamically construct file paths based on user-supplied data or external inputs are especially vulnerable. Environments with limited access controls or inadequate input validation practices face a higher risk of exploitation.
• python / library:
import os
import pydicom
def check_file_path(dicom_dir_path, file_set_root):
try:
ds = pydicom.dcmread(dicom_dir_path)
referenced_file_id = ds.ReferencedFileID.value
resolved_path = os.path.join(file_set_root, referenced_file_id)
if not resolved_path.startswith(file_set_root):
print(f"Potential Path Traversal: Resolved path {resolved_path} is outside the File-set root.")
else:
print("Path is within the File-set root.")
except Exception as e:
print(f"Error processing DICOMDIR: {e}")
# Example usage (replace with actual paths)
file_set_root = "/path/to/fileset"
dicom_dir_path = "/path/to/malicious_dicomdir.xml"
check_file_path(dicom_dir_path, file_set_root)disclosure
Estado del Exploit
EPSS
0.01% (0% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar a la versión 3.0.2 de pydicom, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas pueden incluir la restricción de acceso al directorio File-set, la validación estricta de las entradas del usuario y la implementación de un sistema de control de acceso basado en roles. Además, se puede considerar la implementación de reglas en un Web Application Firewall (WAF) para bloquear solicitudes que intenten acceder a archivos fuera del directorio File-set. La verificación después de la actualización debe confirmar que el acceso a archivos fuera del directorio File-set está bloqueado.
Actualice la biblioteca pydicom a la versión 3.0.2 o superior. Esta versión corrige la vulnerabilidad de path traversal. Puede actualizar usando pip: `pip install --upgrade pydicom`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32711 is a Path Traversal vulnerability in pydicom affecting versions up to 3.0.1, allowing attackers to potentially read, copy, move, or delete files outside the intended directory.
You are affected if you are using pydicom version 3.0.1 or earlier. Upgrade to 3.0.2 or later to mitigate the vulnerability.
Upgrade to pydicom version 3.0.2 or later. If upgrading is not possible, implement stricter input validation on DICOMDIR files.
As of the disclosure date, there is no evidence of active exploitation, but the vulnerability's nature suggests potential for exploitation.
Refer to the pydicom project's official website and security advisories for the latest information and updates regarding CVE-2026-32711.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.