CVE-2025-53854CVE-2025-53854是MedDream PACS Premium中存在的反射型跨站脚本(XSS)漏洞。该漏洞位于modifyHL7Route功能中,攻击者可以通过构造特制的恶意URL来触发此漏洞。当受害者点击攻击者提供的恶意链接时,攻击者可以在受害者的浏览器上下文中执行任意JavaScript代码。这可能导致会话劫持、敏感信息窃取、恶意操作等安全问题。由于该漏洞利用需要用户交互(点击链接),攻击者通常需要通过社工手段诱骗受害者点击恶意链接。
反射型XSS漏洞发生在应用程序将用户输入未经适当过滤或转义就直接输出到网页中。MedDream PACS Premium的modifyHL7Route功能存在此问题,攻击者可以在URL参数中注入恶意JavaScript代码。当受害者访问包含恶意代码的URL时,服务器直接将参数值反射到响应页面中,浏览器将其解析为可执行脚本。攻击者可以利用此漏洞窃取用户会话cookie、进行钓鱼攻击或执行其他恶意操作。