CVE-2018-25372
WysokieStreszczenie
MedDream PACS Server Premium w wersji 6.7.1.1 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze email. Atakujący mogą przesyłać spreparowane żądania POST do punktu końcowego userSignup.php z ładunkami SQL w polu email, aby wydobyć wrażliwe informacje z bazy danych MySQL.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych, umożliwiając atakującym dostęp do wrażliwych informacji w bazie danych. Może to prowadzić do utraty poufności danych oraz naruszenia przepisów dotyczących ochrony danych.
Rekomendacja
Zaleca się aktualizację serwera MedDream PACS do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak walidacja danych wejściowych i ograniczenie dostępu do krytycznych punktów końcowych.
Oryginalny opis (angielski, źródło NVD)
MedDream PACS Server Premium 6.7.1.1 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the email parameter. Attackers can submit crafted POST requests to the userSignup.php endpoint with SQL payloads in the email field to extract sensitive database information from the backend MySQL database.

