Katalog CVE

CVE-2026-25860

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.01%

Percentyl 1 - wyżej niż 1% wszystkich znanych CVE

Streszczenie

OpenClinic GA w wersji 5.351.19 zawiera podatność typu reflected cross-site scripting w obsłudze przesyłania obrazów DICOM, która pozwala atakującym na wykonanie dowolnego kodu JavaScript w przeglądarce ofiary. Atakujący mogą stworzyć plik DICOM z złośliwymi ładunkami w polach metadanych, które są odzwierciedlane bez sanitizacji.

Ocena ryzyka

Podatność ta może prowadzić do kradzieży danych użytkowników lub przejęcia sesji, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację OpenClinic GA do najnowszej wersji oraz wdrożenie mechanizmów sanitizacji danych wejściowych w obsłudze przesyłania obrazów DICOM.

Oryginalny opis (angielski, źródło NVD)

OpenClinic GA 5.351.19 contains a reflected cross-site scripting vulnerability in the DICOM image upload handler that allows attackers to execute arbitrary JavaScript in a victim's browser by embedding malicious payloads in DICOM file metadata fields. Attackers can craft a DICOM file with JavaScript payloads in metadata fields such as Study Description, which are reflected without sanitization in popup.jsp and archiving/uploadfiles_jsp.java when processed through the Upload DICOM images feature.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS