Plateforme
python
Composant
pydicom
Corrigé dans
2.0.1
3.0.2
La vulnérabilité CVE-2026-32711 est une faille de traversal de chemin (path traversal) découverte dans la bibliothèque pydicom, affectant les versions inférieures ou égales à 3.0.1. Cette faille permet à un attaquant de manipuler les chemins d'accès aux fichiers, contournant les contrôles de sécurité et accédant potentiellement à des fichiers sensibles situés en dehors du répertoire File-set prévu. La mise à jour vers la version 3.0.2 corrige cette vulnérabilité.
Cette vulnérabilité permet à un attaquant d'exploiter la fonction de résolution de chemin dans pydicom pour accéder à des fichiers arbitraires sur le système de fichiers. En manipulant le champ ReferencedFileID dans un fichier DICOMDIR malveillant, l'attaquant peut forcer pydicom à résoudre un chemin d'accès qui se trouve en dehors du répertoire File-set. Bien que pydicom vérifie uniquement l'existence du fichier lors de la résolution, il ne valide pas si le chemin résultant reste confiné au File-set. Des opérations ultérieures, telles que la copie, l'écriture et la suppression de fichiers, utilisent ce chemin non vérifié, permettant ainsi à l'attaquant de lire, copier, déplacer ou supprimer des fichiers en dehors du répertoire File-set. Le risque est particulièrement élevé dans les environnements où pydicom est utilisé pour traiter des données DICOM provenant de sources non fiables.
La vulnérabilité CVE-2026-32711 a été rendue publique le 20 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun proof-of-concept (PoC) public n'a été largement diffusé. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible à modérée, en raison de la nécessité d'une manipulation précise des fichiers DICOM et de la complexité de l'exploitation.
Systems utilizing pydicom for DICOM file processing, particularly those handling patient data or medical imaging archives, are at risk. Applications that dynamically construct file paths based on user-supplied data or external inputs are especially vulnerable. Environments with limited access controls or inadequate input validation practices face a higher risk of exploitation.
• python / library:
import os
import pydicom
def check_file_path(dicom_dir_path, file_set_root):
try:
ds = pydicom.dcmread(dicom_dir_path)
referenced_file_id = ds.ReferencedFileID.value
resolved_path = os.path.join(file_set_root, referenced_file_id)
if not resolved_path.startswith(file_set_root):
print(f"Potential Path Traversal: Resolved path {resolved_path} is outside the File-set root.")
else:
print("Path is within the File-set root.")
except Exception as e:
print(f"Error processing DICOMDIR: {e}")
# Example usage (replace with actual paths)
file_set_root = "/path/to/fileset"
dicom_dir_path = "/path/to/malicious_dicomdir.xml"
check_file_path(dicom_dir_path, file_set_root)disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 0%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour pydicom vers la version 3.0.2 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, des mesures d'atténuation peuvent être mises en œuvre. Il est crucial de valider rigoureusement toutes les entrées DICOM, en particulier le champ ReferencedFileID, avant de les traiter avec pydicom. L'utilisation d'une liste blanche des chemins d'accès autorisés peut aider à limiter l'accès aux fichiers. De plus, la configuration d'un pare-feu d'application web (WAF) ou d'un proxy inverse peut aider à bloquer les requêtes malveillantes contenant des chemins d'accès non valides. Il est également recommandé de surveiller les journaux d'accès et d'erreurs pour détecter toute tentative d'exploitation de cette vulnérabilité.
Actualice la biblioteca pydicom a la versión 3.0.2 o superior. Esta versión corrige la vulnerabilidad de path traversal. Puede actualizar usando pip: `pip install --upgrade pydicom`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32711 is a Path Traversal vulnerability in pydicom affecting versions up to 3.0.1, allowing attackers to potentially read, copy, move, or delete files outside the intended directory.
You are affected if you are using pydicom version 3.0.1 or earlier. Upgrade to 3.0.2 or later to mitigate the vulnerability.
Upgrade to pydicom version 3.0.2 or later. If upgrading is not possible, implement stricter input validation on DICOMDIR files.
As of the disclosure date, there is no evidence of active exploitation, but the vulnerability's nature suggests potential for exploitation.
Refer to the pydicom project's official website and security advisories for the latest information and updates regarding CVE-2026-32711.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.