漏洞概述
MedDream PACS Premium 7.3.6.870 版本中存在一个任意文件读取漏洞,该漏洞位于其 encapsulatedDoc 功能模块。攻击者可通过发送特制的 HTTP 请求,远程读取服务器上的任意文件,从而可能导致敏感信息泄露或进一步攻击。
漏洞详情
- CVE 编号:CVE-2025-53912
- 漏洞类型:任意文件读取(CWE-73: External Control of File Name or Path)
- CVSS 评分:9.6(CRITICAL)
- 影响版本:MedDream PACS Premium 7.3.6.870
影响范围
该漏洞影响 MedDream PACS Premium 7.3.6.870 版本。使用该版本的医疗影像存档与通信系统(PACS)可能受到攻击,尤其是在暴露于网络环境中的部署场景下。
风险分析
由于该漏洞允许未经充分授权的攻击者通过网络发送特制 HTTP 请求,读取服务器上的任意文件(如配置文件、凭证文件、患者数据等),可能导致严重的敏感信息泄露。此外,结合其他漏洞,还可能被用于权限提升或持久化攻击。CVSS 评分为 9.6(Critical),表明其具有极高的利用风险和影响范围。
修复建议
- 建议用户立即联系 MedDream 官方获取安全更新或升级至已修复该漏洞的版本。
- 在官方补丁发布前,可考虑限制对相关功能接口的网络访问,仅允许可信 IP 访问,或通过 Web 应用防火墙(WAF)规则拦截可疑请求以缓解风险。
