Resumen ejecutivo
Michael Heinzl ha reportado 2 vulnerabilidades de severidad alta a CISA que afectan a DICOM Viewer y que, en caso de ser explotadas, podrían permitir a un atacante revelar información, provocar una corrupción de memoria y ejecutar código arbitrario.
Recursos afectados
DICOM Viewer, versiones 2025.1 (Build 3321) y anteriores.
Análisis técnico
Para que ambas vulnerabilidades se produzcan es necesario que un usuario abra un fichero DCM malicioso, según la vulnerabilidad puede suceder:
- CVE-2025-35975, se produce una escritura fuera de límite que puede permitir a un atacante ejecutar código arbitrario.
- CVE-2025-36521, se produce una lectura fuera de límite que puede permitir a un atacante provocar una corrupción de memoria en la aplicación.
Mitigación / Solución
Actualizar el producto a la versión 2025.2 o posterior.