CVE-2025-63243CVE-2025-63243是Pixeon WebLaudos 25.1版本中存在的一个反射型跨站脚本(XSS)漏洞。该漏洞位于密码修改功能的loginAlterarSenha.asp文件中,具体问题参数为sle_sSenha。由于应用程序未对用户输入进行充分的过滤和转义,攻击者可以在URL中注入恶意JavaScript代码。当受害者访问攻击者构造的恶意链接时,注入的脚本代码将在受害者浏览器中执行,窃取会话Cookie、劫持用户会话、获取敏感信息或进行钓鱼攻击。由于该漏洞需要用户交互(点击恶意链接),攻击复杂度较低但危害严重。漏洞CVSS评分为4.6,属于中等严重程度,建议尽快修复。
该漏洞为典型的反射型XSS(Non-Persistent XSS)漏洞。攻击者通过在sle_sSenha参数中注入恶意JavaScript代码,如<script>alert(document.cookie)</script>,由于应用程序直接将用户输入反射到响应页面而未进行HTML实体编码或输入验证,导致恶意脚本在受害者浏览器中执行。攻击者可将此恶意URL通过钓鱼邮件、社交工程等方式诱导受害者点击。由于Pixeon WebLaudos是医疗影像诊断系统,通常存储有敏感的患者医疗信息,攻击者成功利用该漏洞后可获取用户会话凭证,横向移动获取更多敏感数据,甚至在某些配置下可能执行更严重的攻击。修复方案应在服务器端对所有用户输入进行严格的输入验证和输出编码。