漏洞概述
MedDream PACS Premium 7.3.6.870 版本中的 ldapUser 功能存在一个反射型跨站脚本(XSS)漏洞。攻击者可通过构造恶意 URL,诱使用户点击,从而在受害者浏览器中执行任意 JavaScript 代码。
漏洞详情
- CVE 编号:CVE-2025-36556
- 漏洞类型:反射型跨站脚本(Reflected XSS)
- CVSS 评分:6.1(中危)
- 影响版本:MedDream PACS Premium 7.3.6.870
影响范围
该漏洞影响 MedDream PACS Premium 7.3.6.870 版本中使用 ldapUser 功能的部署环境。其他版本是否受影响需参考厂商后续安全公告。
风险分析
由于该漏洞属于反射型 XSS,攻击者需诱导用户点击特制的恶意链接。一旦成功利用,可在用户上下文中执行任意 JavaScript 代码,可能导致会话劫持、敏感信息泄露或进一步的客户端攻击。CVSS 向量表明该漏洞无需身份认证、攻击复杂度低,但需要用户交互,且影响范围限于浏览器端。
修复建议
- 建议用户及时关注 MedDream 官方发布的安全更新,并升级至已修复该漏洞的版本。
- 在官方补丁发布前,可限制对 ldapUser 功能的外部访问,或通过 Web 应用防火墙(WAF)规则过滤可疑的 XSS 载荷以缓解风险。
