Dicompass blog

Přehled

Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti na třetí straně používané v rámci DPGW.

Podrobnosti o zranitelnosti

• CVE ID: CVE-2025-7962
• Název závislosti: com.sun.mail:jakarta.mail
• Ovlivněná verze závislosti: < 1.6.7
• Skóre závažnosti: 6.0 Medium
  (CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:L/SA:N)

Dotčené verze DPGW

• < 1.13.18-REL
• < 1.12.42-REL
• < 1.11.46-REL

Risk Assessment & Applicability

Použití
DPGW využívá knihovnu jakarta-mail jako transitivní závislost z balíčku org.apache:commons-email pro odesílání e-mailů.

Analýza
Tato chyba zabezpečení souvisí s SMTP injekcí a použitím znaku \r\n v hlavičce e-mailu.

Stav
Ovlivněno

Skóre závažnosti v kontextu DPGW: 5.8 Medium CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:P/VC:L/VI:H/VA:N/SC:N/SI:L/SA:N

Dopad na DPGW

Využitím této chyby může útočník:
– Spamming: Přidat neoprávněné příjemce do polí Bcc nebo Cc, aby zakryl svou činnost.
– Phishing: Přepsat tělo e-mailu a odeslat zcela odlišnou zprávu, než jakou aplikace zamýšlela.
– Header Spoofing: Změnit adresu odesílatele tak, aby e-mail vypadal, jako by pocházel z důvěryhodného zdroje.

Neoprávněný uživatel v DPGW nemá možnost nastavit předmět e-mailu ani žádné jiné hlavičky e-mailu. Uživatelské rozhraní také neumožňuje zadávat speciální znaky. Tuto zranitelnost by mohl využít oprávněný uživatel, který by pomocí nástroje jako curl falšoval volání HTTP API.

Jelikož neexistuje nová verze commons-email, byla přidána automatická sanitizace vstupů pro hlavičky e-mailů.

Náprava a zmírnění dopadů

Plánovaná oprava
Aktualizujte na verzi:
– 1.13.19-REL (vydáno 29.4.2026) nebo novější
– 1.12.43-REL (vydáno 24.4.2026) nebo novější

Akce uživatele
Není nutný žádný zásah uživatele.

Přehled

Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti třetí strany používané v rámci DPGW.

Podrobnosti o zranitelnosti

• CVE ID: CVE-2026-42198
• Název závislosti: postgresql JDBC
• Ovlivněná verze závislosti: 42.2.0 – 42.7.10
• Skóre závažnosti: 7.5 High
  (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

Verze DPGW ovlivňující verze závislostí

• <= 1.13.20-REL
• <= 1.12.45-REL

Posouzení rizik a použitelnosti

Použití
DPGW využívá k připojení k databázi ovladač JDBC pro PostgreSQL.

Analýza
CVE-2026-42198 je chyba zabezpečení typu „odmítnutí služby“ (DoS) na straně klienta v ovladači PostgreSQL JDBC (pgjdbc). Vyskytuje se během ověřovacího handshake SCRAM-SHA-256. Mechanismus: Škodlivý server může odeslat „server-first-message“ obsahující extrémně vysoký počet iterací pro funkci PBKDF2 (např. miliony nebo miliardy iterací). Klient se pokusí tento hash vypočítat, čímž spotřebuje 100 % jádra procesoru na neomezenou dobu. To může zmrazit skupiny připojení a způsobit zablokování aplikace.

Protože se DPGW nepřipojuje k libovolným, uživatelem zadaným nebo nedůvěryhodným externím URL databází, není přímý útok ze strany „škodlivého serveru“ zvenčí možný. Útočník nemůže jednoduše zadat URL svého vlastního serveru, aby spustil útok typu DoS.

Stav
Neovlivněno

Dopad na DPGW

Při použití připojení k databázi pouze přes localhost nebo při připojení k důvěryhodným serverům nedochází k žádným dopadům.

Náprava a zmírnění dopadů

Akce uživatele
Nenastavujte DPGW pro komunikaci s nedůvěryhodnými databázovými servery PostgreSQL.

Přehled

Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti třetí strany používané v rámci DPGW.

Podrobnosti o zranitelnosti

• CVE ID: CVE-2026-0636, CVE-2026-5588
• Název závislosti: org.bouncycastle:bcprov-jdk18on, org.bouncycastle:bcpkix-jdk18on
• Ovlivněná verze závislosti: 1.74 – 1.82
• Skóre závažnosti: 6.3 Medium, 5.5 Medium
  (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:P/S:N/AU:Y/R:A/RE:M/U:Amber)

Verze DPGW ovlivňující verze závislostí

• < 1.13.18-REL
• < 1.12.42-REL
• < 1.11.46-REL

Posouzení rizik a použitelnosti

Použití
DPGW využívá knihovnu Bouncy Castle jako výchozího poskytovatele kryptografických funkcí. Funkce LDAP knihovny Bouncy Castle nejsou v DPGW využívány.

Analýza
CVE-2026-0636
Pokud aplikace využívají knihovnu Bouncy Castle k načítání digitálních certifikátů nebo seznamů odvolaných certifikátů (CRL) z adresáře LDAP, vytvoří tato knihovna vyhledávací filtr. V dotčených verzích knihovna před vložením speciálních znaků (jako *, (, ) a ) do dotazu neprovede jejich řádnou sanitaci ani „escapování“.

CVE-2026-5588
Nástroj CompositeVerifier je určen ke zpracování „složených podpisů“ – bezpečnostní metody, která využívá současně několik různých kryptografických algoritmů, aby v případě prolomení jednoho z nich (např. RSA) data nadále chránil druhý (např. ML-DSA).
Chyba spočívá ve způsobu, jakým knihovna zpracovává prázdná data: nástroj CompositeVerifier nesprávně interpretuje prázdnou sekvenci podpisu jako platný podpis.

Stav
Neovlivněno

Dopad na DPGW

Zdrojový kód není ve svém současném stavu přímo ovlivněn zranitelností CVE-2026-5588, ačkoli využívá zranitelnou verzi knihovny Bouncy Castle (1.82).
Bylo potvrzeno, že zranitelné komponenty, jako jsou CompositeVerifier, JcaContentVerifierProviderBuilder a podpora CMP (Certificate Management Protocol), nejsou v projektu nikde použity.

CVE-2026-0636 nemá žádný dopad, protože DPGW nepoužívá žádné funkce pro LDAP z knihovny BouncyCastle.

Náprava a zmírnění dopadů

Plánovaná oprava
Aktualizujte na verzi:
– 1.13.19-REL (vydání plánováno na konec dubna 2026) nebo novější
– 1.12.43-REL (vydání plánováno na konec dubna 2026) nebo novější

Akce uživatele
Není nutný žádný zásah uživatele.

Přehled

Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti třetí strany používané v rámci DPGW.

Podrobnosti o zranitelnosti

• CVE ID: CVE-2026-1605
• Název závislosti: jetty-server
• Ovlivněná verze závislosti: 12.0.0-12.0.31, 12.1.0-12.1.5
• Skóre závažnosti: CNA 7.5 High

Dotčené verze DPGW

• 1.13.13-REL – 1.13.16-REL
• 1.12.09-REL – 1.12.39-REL
• 1.11.16-REL – 1.11.43-REL

Posouzení rizik a použitelnosti

Použití
DPGW utilizes the Jetty as the webserver to handle all clients.

Analýza
Vulnerability is directly linked to the webserver and it does not require any kind of authorization to perform this attack. In case where webserver port(s) is reachable from the external network (internet), anybody can crash the DPGW on sending malicious HTTP request.

Stav
Ovlivněno

Skóre závažnosti v kontextu DPGW: 8.7 High
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Dopad na DPGW

Pokud by útočník úspěšně zneužil tuto zranitelnost v kontextu našeho softwaru, potenciální dopad by byl následující: selhání JVM, které by vedlo k dočasné nedostupnosti služby.

Náprava a zmírnění dopadů

Oprava
Aktualizujte na verzi: 1.13.17-REL nebo novější, 1.12.40-REL nebo novější, 1.11.44-REL nebo novější.

Akce uživatele
Uživatelé mohou tuto zranitelnost omezit tím, že v souboru dpgw.xml deaktivují kompresi gzip.

Přehled

Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti třetí strany používané v rámci DPGW.

Podrobnosti o zranitelnosti

• CVE ID: CVE-2026-39882
• Název závislosti: prometheus-metrics
• Ovlivněná verze závislosti: < 4.1.132, < 4.2.10
• Skóre závažnosti: CVSS:3.1 = 5.3 Medium

Dotčené verze DPGW

• 1.13.13-REL – 1.13.17-REL

Posouzení rizik a použitelnosti

Použití
DPGW využívá nástroj prometheus-metrics k poskytování metrik pro monitorování, které jsou načítány nástrojem Grafana Alloy.

Analýza
CVE-2026-39882

Stav
Ovlivněno

Skóre závažnosti v kontextu DPGW: 0.9 Low
CVSS:4.0/AV:L/AC:H/AT:P/PR:H/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N/E:P

Dopad na DPGW

Pokud by útočník úspěšně zneužil tuto zranitelnost v kontextu našeho softwaru, potenciální dopad by byl následující: vyčerpání paměti v případě, že je nakonfigurovaný endpoint collector pod kontrolou útočníka (nebo pokud útočník v síti dokáže provést útok typu „man-in-the-middle“ na exporter connection).
Jelikož koncový bod metrik by měl být vždy přístupný pouze z lokální sítě, útočník by musel mít pod kontrolou Grafana Alloy nainstalovanou na serveru. To klade na útok další požadavky, a proto je riziko nízké.

Náprava a zmírnění dopadů

Plánovaná oprava
Aktualizujte na verzi: 1.13.18-REL (vydání plánováno na polovinu dubna 2026) nebo novější

Akce uživatele
Zkontrolujte, zda je endpoint /metrics povolen pouze pro konektory, ke kterým lze přistupovat pouze prostřednictvím lokálního připojení. Konfigurace: /dpgw/modules/module[@name=‚Monitoring‘]/parameters/@web-connectors by neměla obsahovat znak „*“ ani veřejně přístupné konektory.

Přehled

Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti třetí strany používané v rámci DPGW.

Podrobnosti o zranitelnosti

• CVE ID: CVE-2026-33871, CVE-2026-33870
• Název závislosti: netty-transport-4.1.130
• Ovlivněná verze závislosti: < 4.1.132, < 4.2.10
• Skóre závažnosti: CVSS-B 8.7 HIGH, 7.5 HIGH

Dotčené verze DPGW

• <= 1.13.17-REL
• <= 1.12.41-REL
• <= 1.11.46-REL

Posouzení rizik a použitelnosti

Použití
DPGW využívá transportní vrstvu Netty jako transitivní závislost knihovny pro přístup k úložišti Azure Blob Storage a úložišti S3.

Analýza
DPGW nefunguje jako server pro objektová úložiště S3 / Azure a tuto zranitelnou knihovnu využívá pouze jako klient. Funkčnost DPGW nemohou ohrozit ani útoky typu „denial of service“, ani útoky typu „request smuggling“.

Stav
Neovlivněno

Dopad na DPGW

Bez dopadu.

Náprava a zmírnění dopadů

Oprava
Aktualizujte na verzi: 1.12.42-REL nebo novější, 1.13.18-REL nebo novější.

Akce uživatele
Není třeba provádět žádné kroky.

Přehled

Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti na třetí straně používané v rámci DPGW.

Podrobnosti o zranitelnosti

• CVE ID: CVE-2025-66168
• Název závislosti: activemq-client
• Ovlivněná verze závislosti: <=6.1.8
• Skóre závažnosti: NIST 8.8 High, CNA 5.4 Medium

Dotčené verze DPGW

• 1.13.13-REL – 1.13.16-REL

Posouzení rizik a použitelnosti

Použití
DPGW využívá ActiveMQ jako zprostředkovatele zpráv pro topic a fronty.

Analýza
Activemq-client sám o sobě není zranitelný, zranitelnost spočívá ve zprostředkovateli. Ve všech našich nasazeních je zprostředkovatel přístupný pouze z localhostu, proto je oblast možného útoku velmi omezená.

Stav
Ovlivněno

Skóre závažnosti v kontextu DPGW: 6.1 Medium CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:H/SI:H/SA:L/MAV:L/MPR:H

Dopad na DPGW

Pokud by útočník úspěšně zneužil tuto zranitelnost v kontextu našeho softwaru, potenciální dopad by byl následující: neočekávané chování zprostředkovatele zpráv, které by mohlo vést k nedostupnosti našeho produktu.

Náprava a zmírnění dopadů

Oprava
Aktualizujte na verzi 1.13.17-REL nebo novější.

Akce uživatele
Uživatelé mohou tuto zranitelnost zmírnit tím, že zkontrolují, zda není broker přístupný z jiných zařízení než z lokálního hostitele.

Přehled

Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti na třetí straně používané v rámci DPGW.

Podrobnosti o zranitelnosti

• CVE ID: CVE-2025-53644
• Název závislosti: dcm4che-imageio-opencv
• Ovlivněná verze závislosti: <=5.34.2
• Skóre závažnosti: 6.6 Střední

Dotčené verze DPGW

• 1.13.13-REL – 1.13.14-REL
• <=1.12.37-REL

Posouzení rizik a použitelnosti

Použití
DPGW využívá dcm4che-imageio-opencv speciálně pro překódování DICOM obrazů do komprimovaných formátů, jako jsou JPEG2000, JPEG-LS atd.

Analýza
dcm4che-imageio-opencv není přímo zranitelný, zranitelnost je přenosná, protože závisí na knihovně OpenCV. Útočníci mohou tuto zranitelnost zneužít pouze v případě, že mohou uložit škodlivý obrázek DICOM do spuštěného systému PACS a pokud je DicomImageReader.properties nastaven tak, aby k dekódování souborů JPEG používal OpenCV.

Stav
Ovlivněno

Dopad na DPGW

Pokud by útočník úspěšně zneužil tuto zranitelnost v kontextu našeho softwaru, potenciální dopad by byl následující: dočasné přerušení služby pro uživatele, protože by mohlo dojít k selhání aplikace.

Náprava a zmírnění dopadů

Oprava
Aktualizace DPGW na:
1.13.15-REL (vydáno 23. 2. 2026) nebo novější
1.12.38-REL (vydáno 23. 2. 2026) nebo novější

Akce uživatele
Uživatelé mohou tuto zranitelnost zmírnit překonfigurováním souboru conf/DicomImageReader.properties tak, aby zakázali používání OpenCV a místo toho používali ImageIO.

Přehled

Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti na třetí straně používané v rámci DPGW.

Podrobnosti o zranitelnosti

• CVE ID: CVE-2026-1225
• Název závislosti: logback-core
• Ovlivněná verze závislosti: <=1.5.24
• Skóre závažnosti: 1,8 Nízká

Dotčené verze DPGW

• 1.13.13-REL – 1.13.14-REL
• <=1.12.37-REL

Posouzení rizik a použitelnosti

Použití
DPGW využívá logback konkrétně pro zápis, rotaci a správu logovacích souborů.

Analýza
Soubor logback.xml v naší implementaci je přístupný pouze systémovým administrátorům, kteří mají plný přístup k systému.
Nepodporujeme přístup k souboru logback.xml žádným jiným způsobem. Oprávnění k souboru logback.xml jsou nastavena na 644.

Stav
Není ovlivněno

Náprava a zmírnění dopadů

Oprava
Aktualizujte na verzi: 1.13.15-REL nebo novější, 1.12.38-REL nebo novější.

Akce uživatele
V tuto chvíli není ze strany uživatelů vyžadována žádná akce.

https://thehackernews.com/2026/02/new-chrome-zero-day-cve-2026-2441-under.html

Společnost Google v pátek vydala bezpečnostní aktualizace pro svůj prohlížeč Chrome, které mají řešit bezpečnostní chybu, o které tvrdí, že byla zneužita.
Zranitelnost s vysokou závažností, evidovaná jako CVE-2026-2441 (skóre CVSS: 8,8), byla popsána jako chyba typu „použij po uvolnění“ v CSS. Bezpečnostní výzkumnice Shaheen Fazim byla připsána objevení a nahlášení nedostatku 11. února 2026.
„Použití slova „free“ v CSS v prohlížeči Google Chrome před verzí 145.0.7632.75 umožňovalo vzdálenému útočníkovi spustit libovolný kód uvnitř sandboxu prostřednictvím vytvořené HTML stránky,“ uvádí se v popisu chyby v Národní databázi zranitelností (NVD) NIST.
Google nezveřejnil žádné podrobnosti o tom, jak je tato zranitelnost zneužívána, kým nebo kdo mohl být cílem útoku, ale uznal, že „zranitelnost CVE-2026-2441 existuje“.
Pro optimální ochranu se uživatelům doporučuje aktualizovat prohlížeč Chrome na verzi 145.0.7632.75/76 pro Windows a Apple macOS a 144.0.7559.75 pro Linux. Chcete-li se ujistit, že jsou nainstalovány nejnovější aktualizace, mohou uživatelé přejít do sekce Více > Nápověda > O prohlížeči Google Chrome a vybrat možnost Restartovat.