漏洞概述
MedDream PACS Premium 7.3.6.870 版本中的 sendOruReport 功能存在反射型跨站脚本(XSS)漏洞。攻击者可通过构造恶意 URL,诱使用户点击,从而在受害者浏览器中执行任意 JavaScript 代码。
漏洞详情
- CVE 编号:CVE-2025-44000
- 漏洞类型:反射型跨站脚本(XSS)
- CVSS 评分:6.1(中危)
- 影响版本:MedDream PACS Premium 7.3.6.870
影响范围
该漏洞影响 MedDream PACS Premium 7.3.6.870 版本。其他版本是否受影响需参考厂商后续安全公告。
风险分析
由于漏洞存在于网络可访问的功能中,且无需身份认证即可触发,攻击者只需诱导用户点击特制链接,即可在用户上下文中执行恶意脚本。可能导致会话劫持、钓鱼攻击或敏感信息泄露等后果。虽然漏洞不会直接影响系统可用性,但对数据机密性和完整性构成一定威胁。
修复建议
- 建议用户及时关注 MedDream 官方发布的安全更新,并升级至已修复该漏洞的版本。
- 在官方补丁发布前,应避免点击来源不明的链接,管理员可考虑对相关功能实施输入过滤或内容安全策略(CSP)作为临时缓解措施。
