pynetdicom
Nicht authentifizierte Path Traversal im qrscp-C-STORE-Handler
Der mit pynetdicom ausgelieferte Query/Retrieve-Server qrscp baut den Pfad, an den er jeden empfangenen DICOM-Datensatz schreibt, ohne Bereinigung aus der datensatzeigenen SOPInstanceUID. Ein entfernter, anonymer Angreifer mit Zugriff auf den DICOM-Port sendet ein C-STORE, dessen SOPInstanceUID das Speicherverzeichnis verlässt, und schreibt damit eine angreiferkontrollierte Datei an einen beliebigen Pfad auf dem Server. Alle Releases bis einschließlich v3.0.4 sind betroffen, und ein behobenes Release ist nicht verfügbar. Die Schwachstelle ist als CVE-2026-56445 erfasst und wurde von CISA als Advisory ICSMA-26-176-01 veröffentlicht.
Dieser Sicherheitshinweis enthält im Rahmen der koordinierten Offenlegung nur eingeschränkte Informationen. Bitte schauen Sie später für weitere Details vorbei.
Beschreibung
pynetdicom ist eine weit verbreitete reine Python-Implementierung des DICOM-Netzwerkprotokolls, die sowohl als Bibliothek als auch über ihre mitgelieferten Anwendungen genutzt wird. Wir schätzen den langjährigen Beitrag des Projekts zu offenem DICOM-Tooling. Dieses Advisory betrifft ausschließlich die mitgelieferte Query/Retrieve-SCP-Anwendung qrscp; die Kernbibliothek ist nicht betroffen. Die Schwachstelle ist als CVE-2026-56445 erfasst und wurde von CISA als Advisory ICSMA-26-176-01 veröffentlicht.
Da noch kein gepatchtes Release verfügbar ist, halten wir den vollständigen technischen Writeup zurück. Die obige Zusammenfassung gibt wieder, was CISA veröffentlicht hat; weitere Details und Reproduktion ergänzen wir hier, sobald ein Fix erscheint.
Auswirkung
- Ein entfernter, anonymer Angreifer, der den qrscp-DICOM-Port erreicht (standardmäßig 11112, ohne erforderliche Authentifizierung), schreibt eine angreiferkontrollierte Datei an einen beliebigen für den Server-Prozess beschreibbaren Pfad. Ein beliebiger Dateischreibzugriff dieser Art wird üblicherweise zum Ausführen von beliebigem Programmcode auf dem Host eskaliert.
Abhilfe
Ein behobenes Release ist nicht verfügbar. Beschränken Sie den qrscp-DICOM-Port (standardmäßig 11112) per Firewall oder VPN auf vertrauenswürdige Peers, legen Sie ihn nicht ins Internet und beobachten Sie das Projekt auf ein gepatchtes Release.
Referenzen
So können wir helfen
Wer wir sind
Die Sicherheitsforscher hinter diesem Sicherheitshinweis.
Dr. rer. nat. Simon Weber
Senior Pentester & MedSec-Forscher
Ich evaluiere Ihr SaMD mit derselben branchenprägenden Sicherheitsexpertise, die ich dem BAK MV für die Überarbeitung des B3S-Standards beigetragen habe.
- Promotion über Krankenhaus-Cybersicherheit
- Kritische Schwachstellen in Krankenhaussystemen gefunden
- Alumni der THB MedSec-Forschungsgruppe
- gematik Security Hero
Dipl.-Inf. Volker Schönefeld
Senior Application Security Expert
Als ehemaliger CTO und Entwickler, der zum Pentester wurde, arbeite ich mit Ihrem Team zusammen, um Schwachstellen aufzudecken und Lösungen zu finden, die zu Ihrer Architektur passen.
- 20+ Jahre als CTO, 50+ Mio. App-Downloads
- Architektur und Absicherung großer IoT-Flotten
- Certified Web Exploitation Specialist
- gematik Security Hero
Penetrationstest gesucht?
Machine Spirits ist spezialisiert auf Sicherheitsbewertungen für Medizinprodukte und Gesundheits-IT. Von MDR-Penetrationstests bis C5-Cloud-Compliance helfen wir MedTech-Unternehmen, regulatorische Anforderungen zu erfüllen.