प्लेटफ़ॉर्म
python
घटक
pydicom
में ठीक किया गया
2.0.1
3.0.2
CVE-2026-32711 pydicom में एक पथ ट्रैवर्सल भेद्यता है। यह भेद्यता हमलावरों को फ़ाइल सिस्टम में अनधिकृत फ़ाइलों तक पहुंचने की अनुमति दे सकती है। यह भेद्यता pydicom के संस्करणों 3.0.1 और उससे पहले को प्रभावित करती है। 2026-03-20 को प्रकाशित, इस समस्या को pydicom 3.0.2 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को DICOMDIR फ़ाइल के माध्यम से फ़ाइल सिस्टम में ट्रैवर्स करने की अनुमति देती है। हमलावर ReferencedFileID को फ़ाइल-सेट रूट के बाहर एक पथ पर सेट कर सकते हैं। pydicom केवल यह पुष्टि करने के लिए पथ को हल करता है कि यह मौजूद है, लेकिन यह सत्यापित नहीं करता है कि हल किया गया पथ फ़ाइल-सेट रूट के भीतर रहता है। इसके बाद, फ़ाइल-सेट संचालन, जैसे copy(), write(), और remove()+write(use_existing=True) फ़ाइल I/O संचालन में इस अनियंत्रित पथ का उपयोग करते हैं। इससे हमलावर फ़ाइल-सेट रूट के बाहर फ़ाइलों को पढ़ और कॉपी कर सकते हैं, और कुछ प्रवाहों में, उन्हें स्थानांतरित या हटा भी सकते हैं। यह संवेदनशील डेटा के प्रकटीकरण या सिस्टम में अनधिकृत संशोधनों का कारण बन सकता है।
CVE-2026-32711 को अभी तक KEV में सूचीबद्ध नहीं किया गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं: प्रकाशित 2026-03-20।
Systems utilizing pydicom for DICOM file processing, particularly those handling patient data or medical imaging archives, are at risk. Applications that dynamically construct file paths based on user-supplied data or external inputs are especially vulnerable. Environments with limited access controls or inadequate input validation practices face a higher risk of exploitation.
• python / library:
import os
import pydicom
def check_file_path(dicom_dir_path, file_set_root):
try:
ds = pydicom.dcmread(dicom_dir_path)
referenced_file_id = ds.ReferencedFileID.value
resolved_path = os.path.join(file_set_root, referenced_file_id)
if not resolved_path.startswith(file_set_root):
print(f"Potential Path Traversal: Resolved path {resolved_path} is outside the File-set root.")
else:
print("Path is within the File-set root.")
except Exception as e:
print(f"Error processing DICOMDIR: {e}")
# Example usage (replace with actual paths)
file_set_root = "/path/to/fileset"
dicom_dir_path = "/path/to/malicious_dicomdir.xml"
check_file_path(dicom_dir_path, file_set_root)disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (0% शतमक)
CISA SSVC
CVE-2026-32711 को कम करने के लिए, pydicom को संस्करण 3.0.2 या बाद के संस्करण में तुरंत अपडेट करें। यदि तत्काल अपग्रेड संभव नहीं है, तो फ़ाइल-सेट रूट के भीतर फ़ाइल एक्सेस को सीमित करने के लिए फ़ाइल सिस्टम अनुमतियों को कड़ा करें। WAF (वेब एप्लिकेशन फ़ायरवॉल) या प्रॉक्सी का उपयोग करके DICOMDIR फ़ाइलों में दुर्भावनापूर्ण पथ ट्रैवर्सल प्रयासों का पता लगाने और ब्लॉक करने के लिए नियम लागू करें। यह सुनिश्चित करें कि DICOM फ़ाइलों को संसाधित करने वाले एप्लिकेशन में उचित इनपुट सत्यापन और सैनिटाइजेशन है।
Actualice la biblioteca pydicom a la versión 3.0.2 o superior. Esta versión corrige la vulnerabilidad de path traversal. Puede actualizar usando pip: `pip install --upgrade pydicom`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-32711 pydicom में एक भेद्यता है जो हमलावरों को फ़ाइल सिस्टम में अनधिकृत फ़ाइलों तक पहुंचने की अनुमति देती है।
यदि आप pydicom के संस्करण 3.0.1 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
pydicom को संस्करण 3.0.2 या बाद के संस्करण में तुरंत अपडेट करें।
CVE-2026-32711 के सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
कृपया pydicom परियोजना वेबसाइट या संबंधित सुरक्षा सलाहकार देखें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।