CVE-2018-25142
CriticalSummary
NovaRad NovaPACS Diagnostics Viewer w wersji 8.5.19.75 zawiera podatność na wstrzykiwanie zewnętrznych jednostek XML (XXE) w ustawieniach importu preferencji XML. Atakujący mogą stworzyć złośliwe pliki XML z parametrami DTD, aby uzyskać dostęp do dowolnych plików systemowych poprzez atak z wykorzystaniem kanału zewnętrznego.
Risk Assessment
Podatność ta może prowadzić do ujawnienia wrażliwych danych systemowych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący mogą wykorzystać tę lukę do przeprowadzenia ataków na infrastrukturę IT.
Recommendation
Zaleca się aktualizację oprogramowania NovaRad NovaPACS do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, należy monitorować i ograniczać możliwość importu plików XML z niezaufanych źródeł.
Original NVD description (English source)
NovaRad NovaPACS Diagnostics Viewer 8.5.19.75 contains an unauthenticated XML External Entity (XXE) injection vulnerability in XML preference import settings. Attackers can craft malicious XML files with DTD parameter entities to retrieve arbitrary system files through an out-of-band channel attack.

