CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25142

Critical
Published: Translated: NVD NIST

Summary

NovaRad NovaPACS Diagnostics Viewer w wersji 8.5.19.75 zawiera podatność na wstrzykiwanie zewnętrznych jednostek XML (XXE) w ustawieniach importu preferencji XML. Atakujący mogą stworzyć złośliwe pliki XML z parametrami DTD, aby uzyskać dostęp do dowolnych plików systemowych poprzez atak z wykorzystaniem kanału zewnętrznego.

Risk Assessment

Podatność ta może prowadzić do ujawnienia wrażliwych danych systemowych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący mogą wykorzystać tę lukę do przeprowadzenia ataków na infrastrukturę IT.

Recommendation

Zaleca się aktualizację oprogramowania NovaRad NovaPACS do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, należy monitorować i ograniczać możliwość importu plików XML z niezaufanych źródeł.

Original NVD description (English source)

NovaRad NovaPACS Diagnostics Viewer 8.5.19.75 contains an unauthenticated XML External Entity (XXE) injection vulnerability in XML preference import settings. Attackers can craft malicious XML files with DTD parameter entities to retrieve arbitrary system files through an out-of-band channel attack.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS