漏洞概述
MedDream PACS Premium 7.3.6.870 版本中的 existingUser 功能存在一个反射型跨站脚本(XSS)漏洞。攻击者可通过构造恶意 URL,诱使用户点击后在受害者浏览器中执行任意 JavaScript 代码,从而可能导致会话劫持、信息泄露或页面内容篡改等安全风险。
漏洞详情
- CVE 编号:CVE-2025-54778
- 漏洞类型:反射型跨站脚本(Reflected XSS)
- CVSS 评分:6.1(中危)
- 影响版本:MedDream PACS Premium 7.3.6.870
影响范围
该漏洞影响 MedDream PACS Premium 7.3.6.870 版本中与 existingUser 功能相关的 Web 接口。任何使用该版本且未部署有效输入过滤或输出编码机制的部署环境均可能受到影响。
风险分析
由于该漏洞属于反射型 XSS,攻击者需诱导用户点击特制的恶意链接。一旦成功利用,可在用户上下文中执行任意 JavaScript 代码,可能导致敏感信息(如 Cookie、会话令牌)泄露、账户接管或对用户界面的恶意篡改。虽然漏洞本身不直接导致系统权限提升或服务中断,但在结合其他攻击手段时可能构成更严重的安全威胁。
修复建议
- 建议用户尽快升级至 MedDream 官方发布的安全版本,以修复该漏洞。
- 在官方补丁发布前,可考虑对用户输入进行严格的验证与过滤,并对所有动态输出内容实施上下文相关的 HTML 编码,以缓解 XSS 风险。
