CVE-2025-14607：OFFIS DCMTK 内存损坏漏洞

严重性： 中等 类型： 漏洞

CVE-2025-14607 在 OFFIS DCMTK 3.6.9 及更早版本中发现一个漏洞。此问题影响 dcmdata 组件中文件 dcmdata/libsrc/dcbytstr.cc 的函数 DcmByteString::makeDicomByteString。不当操作导致内存损坏。攻击可以远程发起。升级到 3.7.0 版本可以解决此问题。补丁标识为 4c0e5c10079392c594d6a7abd95dd78ac0aa556a。您应升级受影响的组件。

AI 分析

技术总结

CVE-2025-14607 是在 OFFIS DCMTK 库中发现的一个内存损坏漏洞，该库是一个广泛使用的用于处理 DICOM（医学数字成像和通信）文件的开源工具包。该缺陷存在于 dcmdata 组件（文件 dcmdata/libsrc/dcbytstr.cc）内的函数 DcmByteString::makeDicomByteString 中。该函数对某些输入数据处理不当，在处理精心构造的 DICOM 字节字符串时导致内存损坏。此漏洞可以被远程利用，无需身份验证或用户交互，使其成为一个可利用网络的缺陷。CVSS 4.0 基本评分为 5.3，反映了中等严重性，考虑到攻击向量是基于网络的，攻击复杂度低且无需权限，但对机密性、完整性和可用性的影响有限。此漏洞不需要用户交互，影响从 3.6.0 到 3.6.9 的所有 DCMTK 版本。该问题已在 3.7.0 版本中修复，修复提交标识为 4c0e5c10079392c594d6a7abd95dd78ac0aa556a。虽然目前尚未发现已知的在野利用，但如果被利用，存在导致拒绝服务或有限代码执行的可能性。鉴于 DCMTK 在医学影像工作流中的作用，成功利用可能会扰乱医疗操作或损害患者数据的完整性。

潜在影响

对于欧洲的组织，特别是医疗保健领域的组织，此漏洞对医学影像数据的机密性、完整性和可用性构成风险。利用该漏洞可能导致拒绝服务情况，中断诊断工作流程，并可能延误关键的患者护理。尽管对机密性和完整性的影响被评为较低，但医学影像系统的任何中断都可能带来严重的操作后果。该漏洞无需认证即可远程利用的特性增加了外部威胁行为者发起攻击的风险。在 PACS（影像归档和通信系统）或其他医学影像软件中使用 DCMTK 的医疗保健提供商尤其脆弱。此外，GDPR 和欧洲医疗器械法规等合规框架强调保护患者数据和系统可用性，因此及时补救对于避免法律和声誉影响至关重要。

缓解建议

欧洲的医疗保健组织应优先将所有 DCMTK 实例升级到 3.7.0 或更高版本，以应用官方补丁。应采用网络分段，将医学影像系统与不受信任的网络隔离，减少暴露于远程攻击的风险。实施严格的访问控制，并监控针对 DICOM 服务的异常网络流量活动。使用应用层防火墙或支持 DICOM 的安全网关来过滤和验证传入的 DICOM 数据流。定期审计和更新所有医学影像软件依赖项，以确保漏洞得到及时处理。此外，结合针对医学影像基础设施的漏洞扫描和渗透测试，以检测潜在的利用尝试。建立专门针对医疗设备和成像系统受损事件的应急响应计划，以最小化操作影响。

受影响国家

德国、法国、英国、意大利、西班牙、荷兰、瑞典、比利时、瑞士、挪威

来源： CVE Database V5 发布日期： 2025年12月13日 星期六