一、 漏洞 CVE-2020-36855 基础信息
漏洞信息
                                        # DCMTK dcmqrscp 栈溢出漏洞

## 概述

DCMTK 存在一个安全漏洞,影响版本至 3.6.5。该漏洞存在于组件 `dcmqrscp` 的 `parseQuota` 函数中。

## 影响版本

- **受影响版本**:DCMTK 3.6.5 及之前版本

## 漏洞细节

- **漏洞类型**:基于栈的缓冲区溢出(Stack-based Buffer Overflow)
- **触发条件**:通过操控 `StorageQuota` 参数
- **攻击方式**:本地攻击者可利用该漏洞
- **攻击可行性**:漏洞已被公开披露,存在被利用风险

## 影响

成功利用该漏洞可能导致:
- 应用程序崩溃
- 任意代码执行(依赖具体环境与攻击载荷)

## 修复与建议

- **修复版本**:升级至 DCMTK 3.6.6
- **补丁标识**:`0fef9f02e`
- **建议操作**:尽快升级受影响组件,以消除漏洞风险
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
DCMTK dcmqrscp parseQuota stack-based overflow
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A security vulnerability has been detected in DCMTK up to 3.6.5. The affected element is the function parseQuota of the component dcmqrscp. The manipulation of the argument StorageQuota leads to stack-based buffer overflow. Local access is required to approach this attack. The exploit has been disclosed publicly and may be used. Upgrading to version 3.6.6 is sufficient to fix this issue. The identifier of the patch is 0fef9f02e. It is recommended to upgrade the affected component.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
栈缓冲区溢出
来源:美国国家漏洞数据库 NVD
漏洞标题
DCMTK 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
DCMTK是DCMTK开源的一个实现大部分 DICOM 标准的库和应用程序的集合。用于检查、构建和转换 DICOM 图像文件、处理离线媒体、通过网络连接发送和接收图像的软件,以及演示图像存储和工作列表服务器。 DCMTK 3.6.5及之前版本存在安全漏洞,该漏洞源于对组件dcmqrscp中函数parseQuota的参数StorageQuota的错误操作,可能导致栈缓冲区溢出。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-36855 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2020-36855 的情报信息

  • 标题: Stack Buffer Overflow Vulnerability in DCMTK (dcmqrscp) ≤ 3.6.5+DEV -- 🔗来源链接

    标签: exploit

    神龙速读
    Stack Buffer Overflow Vulnerability in DCMTK (dcmqrscp) ≤ 3.6.5+DEV

  • 标题: Login required -- 🔗来源链接

    标签: signature permissions-required

    神龙速读
    Login required

  • 标题: CVE-2020-36855 DCMTK dcmqrscp parseQuota stack-based overflow (ID 1026 / 0fef9f02e) -- 🔗来源链接

    标签: vdb-entry technical-description

    神龙速读
    CVE-2020-36855 DCMTK dcmqrscp parseQuota stack-based overflow (ID 1026 / 0fef9f02e)

  • 标题: Submit #673137: DCMTK GitHub Repository DCMTK 3.6.5 Stack-based Buffer Overflow -- 🔗来源链接

    标签: third-party-advisory

    神龙速读
    Submit #673137: DCMTK GitHub Repository DCMTK 3.6.5 Stack-based Buffer Overflow
  • https://nvd.nist.gov/vuln/detail/CVE-2020-36855
四、漏洞 CVE-2020-36855 的评论

暂无评论

发表评论