Katalog CVE

CVE-2018-25142

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

NovaRad NovaPACS Diagnostics Viewer w wersji 8.5.19.75 zawiera podatność na wstrzykiwanie zewnętrznych jednostek XML (XXE) w ustawieniach importu preferencji XML. Atakujący mogą stworzyć złośliwe pliki XML z parametrami DTD, aby uzyskać dostęp do dowolnych plików systemowych poprzez atak z wykorzystaniem kanału zewnętrznego.

Ocena ryzyka

Podatność ta może prowadzić do ujawnienia wrażliwych danych systemowych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący mogą wykorzystać tę lukę do przeprowadzenia ataków na infrastrukturę IT.

Rekomendacja

Zaleca się aktualizację oprogramowania NovaRad NovaPACS do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, należy monitorować i ograniczać możliwość importu plików XML z niezaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

NovaRad NovaPACS Diagnostics Viewer 8.5.19.75 contains an unauthenticated XML External Entity (XXE) injection vulnerability in XML preference import settings. Attackers can craft malicious XML files with DTD parameter entities to retrieve arbitrary system files through an out-of-band channel attack.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS