关键漏洞信息 漏洞细节 描述 CERT Polska 收到了关于CGM CLININET和CGM NETRAAD软件中8个漏洞的报告,并参与了披露的协调。 CVE-2025-10350: SQL注入漏洞允许攻击者通过连接到PACS系统获取数据库访问权限,包括由CGM CLININET处理的数据。 CVE-2025-30035: 缺少对关键功能的认证,通过提供用户名即可绕过认证。 CVE-2025-30042: 仅使用证书号进行身份验证,导致凭证号本身即可用于认证。 CVE-2025-30044: 参数未充分规范化导致代码注入。 CVE-2025-30062: SQL注入漏洞。 CVE-2025-58402: 直接、顺序的对象标识符访问,无适当授权检查。 CVE-2025-58405: 未实施防范点击劫持攻击的机制。 CVE-2025-58406: 未响应必要的安全HTTP头,暴露客户端攻击风险。 致谢 感谢Maciej Kazulak对CVE-2025-10350, CVE-2025-30035, CVE-2025-30042, CVE-2025-30044和CVE-2025-30062漏洞的负责任报告。