漏洞概述
MedDream PACS Premium 7.3.6.870 版本中的 modifyTranscript 功能存在反射型跨站脚本(XSS)漏洞。攻击者可通过构造恶意 URL,诱使用户点击,从而在用户浏览器中执行任意 JavaScript 代码。
漏洞详情
- CVE 编号:CVE-2025-53707
- 漏洞类型:反射型跨站脚本(XSS)
- CVSS 评分:6.1(中危)
- 影响版本:MedDream PACS Premium 7.3.6.870
影响范围
该漏洞影响 MedDream PACS Premium 7.3.6.870 版本中使用 modifyTranscript 功能的部署环境。任何访问该功能页面并点击恶意链接的用户都可能受到影响。
风险分析
由于该漏洞属于反射型 XSS,攻击者需诱导用户点击特制的恶意链接。一旦成功利用,可在受害者浏览器上下文中执行任意脚本,可能导致会话劫持、敏感信息泄露或页面内容篡改等后果。虽然不直接影响系统可用性,但对用户数据的机密性和完整性构成威胁。
修复建议
- 建议用户及时关注厂商安全公告,并升级至已修复该漏洞的后续版本。
- 在官方补丁发布前,应避免点击来源不明的链接,并对用户输入进行严格的输出编码和内容安全策略(CSP)防护。
