セキュリティ

SECURITY

公開：2025-02-22

【CVE-2025-0570】Sante PACS Server Web Portalでメモリ破損の脆弱性が発見、認証済み攻撃者によるDoS攻撃が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Sante PACS Server Web Portalで脆弱性を発見
• DCMファイル解析時のメモリ破損による問題
• 認証済みユーザーによるDoS攻撃が可能に

Sante PACS Server Web PortalのDCMファイル解析に脆弱性

Zero Day Initiativeは2025年1月30日、Sante PACS Server Web PortalにDCMファイル解析時のメモリ破損による脆弱性が存在することを公開した。この脆弱性は【CVE-2025-0570】として識別されており、認証済みの攻撃者がサービス拒否（DoS）状態を引き起こすことが可能となっている。^[1]

脆弱性はユーザーが提供するデータの検証が適切に行われないことに起因しており、メモリ破損の状態を引き起こす可能性が存在する。CVSSスコアは6.5（MEDIUM）と評価され、攻撃の複雑さは低いものの認証が必要とされるため、深刻度は中程度に分類されている。

この脆弱性は影響を受けるSante PACS Serverのバージョン4.0.9において発見された。Zero Day Initiativeは脆弱性をZDI-CAN-25304として追跡しており、セキュリティアドバイザリとしてZDI-25-050を公開している。

Sante PACS Server Web Portalの脆弱性詳細

メモリ破損について

メモリ破損とは、プログラムが意図しない形でメモリ領域にアクセスしたり、データを書き込んだりすることによって発生する問題のことを指す。主な特徴として、以下のような点が挙げられる。

• バッファオーバーフローやメモリリークの原因となる
• プログラムのクラッシュやシステムの不安定化を引き起こす
• 攻撃者によって悪用される可能性がある深刻な脆弱性

Sante PACS Server Web Portalで発見された脆弱性は、DCMファイルの解析処理においてユーザー入力の検証が不十分であることに起因している。この脆弱性が悪用された場合、システムがメモリ破損状態に陥り、サービス拒否状態を引き起こす可能性があるため、早急な対応が必要とされる。

Sante PACS Serverの脆弱性に関する考察

医療機関で使用されるPACSシステムにおいて、DCMファイルの安全な処理は極めて重要な要素となっている。今回発見された脆弱性は認証が必要とはいえ、医療現場の業務に支障をきたす可能性があるため、運用面での対策も含めた包括的なセキュリティ強化が求められているだろう。

今後は同様の脆弱性を防ぐため、入力値の検証やメモリ管理の実装における堅牢性の向上が必要不可欠となる。特にDICOMファイルのような医療データを扱うシステムでは、セキュリティとパフォーマンスの両立が重要な課題となってくるはずだ。

医療システムのデジタル化が進む中、PACSシステムのセキュリティ対策はより一層重要性を増している。Sante PACS Serverには継続的なセキュリティアップデートの提供と、脆弱性診断の強化による未然防止の取り組みが期待される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-0570, (参照 25-02-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧