CVE-2026-25860
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 - wyżej niż 1% wszystkich znanych CVE
Streszczenie
OpenClinic GA w wersji 5.351.19 zawiera podatność typu reflected cross-site scripting w obsłudze przesyłania obrazów DICOM, która pozwala atakującym na wykonanie dowolnego kodu JavaScript w przeglądarce ofiary. Atakujący mogą stworzyć plik DICOM z złośliwymi ładunkami w polach metadanych, które są odzwierciedlane bez sanitizacji.
Ocena ryzyka
Podatność ta może prowadzić do kradzieży danych użytkowników lub przejęcia sesji, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację OpenClinic GA do najnowszej wersji oraz wdrożenie mechanizmów sanitizacji danych wejściowych w obsłudze przesyłania obrazów DICOM.
Oryginalny opis (angielski, źródło NVD)
OpenClinic GA 5.351.19 contains a reflected cross-site scripting vulnerability in the DICOM image upload handler that allows attackers to execute arbitrary JavaScript in a victim's browser by embedding malicious payloads in DICOM file metadata fields. Attackers can craft a DICOM file with JavaScript payloads in metadata fields such as Study Description, which are reflected without sanitization in popup.jsp and archiving/uploadfiles_jsp.java when processed through the Upload DICOM images feature.

