PT-2024-22280 · Offis+5 · Dcmtk+5

Emmanuel Tacheau

·

Publicado

2024-03-14

·

Atualizado

2025-09-10

·

CVE-2024-28130

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
OFFIS DCMTK versão 3.6.8
Descrição
Existe uma vulnerabilidade de conversão de tipo incorreta na funcionalidade DVPSSoftcopyVOI PList::createFromImage. Um arquivo malformado especialmente criado pode levar à execução de código arbitrário. Um invasor pode fornecer um arquivo malicioso para explorar essa vulnerabilidade.
Recomendações
Para o OFFIS DCMTK versão 3.6.8, considere evitar o uso da funcionalidade DVPSSoftcopyVOI PList::createFromImage até que uma correção esteja disponível. Como solução temporária, restrinja o manuseio de arquivos malformados para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Incorrect Type Conversion or Cast

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-704

Identificadores relacionados

BDU:2025-01309
CVE-2024-28130
DLA-3847-1
DLA-4038-1
DLA-4038-2
MGASA-2024-0251
OPENSUSE-SU-2024:0113-1
OPENSUSE-SU-2024:13898-1
USN-7010-1

Produtos afetados

Astra Linux
Dcmtk
Debian
Linuxmint
Red Os
Ubuntu