关键信息总结 漏洞概述 CVE 编号: CVE-2025-46270 漏洞类型: 反射型跨站脚本 (XSS) 受影响的软件及版本: MedDream PACS Premium 7.3.6.870 漏洞细节 描述: 在 MedDream PACS Premium 的 功能中存在反射型 XSS 漏洞。攻击者可以利用特制的 URL 触发此漏洞,导致任意 JavaScript 代码执行。 代码示例: 攻击方式: 攻击者通过设置可控的 变量,并将其值直接嵌入到 HTML 输出中,而未进行任何转义或过滤,从而注入 HTML/JavaScript 代码。 风险评估 CVSS v3.1 评分: 6.1 CVSS 向量: CWE: CWE-79 - Web 页面生成过程中对输入的不正确中立化(跨站脚本) 时间线 2025年9月2日: 厂商披露 2025年12月5日: 厂商发布补丁 2026年1月20日: 公开发布 发现者 马辛 · 伊切沃尔: Cisco Talos的一员