关键漏洞信息 漏洞标识 TALOS ID: TALOS-2025-2264 CVE编号: CVE-2025-58080 漏洞概要 影响产品: MedDream PACS Premium 7.3.6.870 漏洞类型: 反射型跨站脚本攻击(XSS) CVSSv3评分: 6.1 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N) CWE编号: CWE-79 - 在网页生成过程中未正确处理输入(跨站脚本) 漏洞详情 易受攻击版本: MedDream PACS Premium 7.3.6.870 漏洞位置: modifyHL7App.php 脚本的 modifyEntryForm 功能中存在反射型跨站脚本漏洞。攻击者可利用特制的URL触发漏洞,导致任意JavaScript代码执行。 产品简介: MedDream PACS 是一个符合DICOM 3.0标准的服务器,用于存储、管理及检索医学影像,并包含Web基础的DICOM查看器及管理界面。 漏洞原因: 在 modifyEntryForm 函数中, 参数的值被直接写入HTML输出,未做任何清理,导致XSS漏洞。 示例代码 时间线 2025-09-02: 漏洞披露给厂商 2025-12-05: 厂商发布补丁 2026-01-20: 公开发布报告 发现者 Cisco Talos的Marcin 'Icewall' Noga 发现了此漏洞