Visores OHIF DICOM
Compartir
Estás leyendo un resumen. El contenido completo está en cisa.gov.
Ver resumen de CSAF La explotación exitosa de esta vulnerabilidad en una versión de integración personalizada podría permitir a un atacante robar el token de un médico autenticado a través de un enlace manipulado. Las siguientes versiones de los Visores DICOM de OHIF están afectadas: OHIF DICOM Web Viewer Framework <=v3.12.0 CVSS Vulnerabilidades de Equipos del Vendedor v3 8.2 Open Health Imaging Foundation (OHIF) Visores DICOM de OHIF Falsificación de Peticiones del Lado del Servidor (SSRF) Contexto Sectores de Infraestructura Crítica: Salud y Salud Pública Países/Áreas Desplegadas: Mundial Ubicación de la Sede de la Empresa: Estados Unidos Vulnerabilidades Expandir Todo + CVE-2026-12473 Dos fuentes de datos (DICOMWebProxy y DICOMJSON) enviadas en la configuración predeterminada obtienen un parámetro de URL arbitrario sin validación. Un servicio de autenticación global en OHIF inyecta automáticamente el token OIDC Bearer del usuario autenticado en las solicitudes resultantes, enviándolo al servidor controlado por el atacante. Las fuentes de datos DICOMweb no están afectadas. Ver Detalles del CVE Productos Afectados Visores DICOM de OHIF Vendedor: Open Health Imaging Foundation (OHIF) Versión del Producto: Open Health Imaging Foundation (OHIF) OHIF DICOM Web Viewer Framework: <=v3.12.0 Estado del Producto: conocido_afectado Remedios Mitigación El mantenedor ha corregido la vulnerabilidad informada y ha lanzado la versión 3.12.2 (2026-05-18). La solución se encuentra en OHIF/Viewers#5985 (principal), OHIF/Viewers#5978 (release/3.12). Mitigación Se recomienda a los usuarios actualizar a v3.12.2 o posterior. Los operadores que necesiten dicomwebproxy o dicomjson en implementaciones autenticadas deben configurar adicionalmente la nueva lista permitida dangerouslyAllowedOriginsForAuthenticatedEnvironments en app-config.js. Mitigación Los usuarios que ejecuten OHIF con autenticación deben eliminar TODAS las configuraciones no utilizadas de DicomWebProxyDataSource y DicomJSONDataSource del archivo de configuración que están desplegando. CWE relevante: CWE-918 Falsificación de Peticiones del Lado del Servidor (SSRF) Métricas CVSS Versión Puntuación Base Severidad Base Vector String 3.1 8.2 ALTA CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N 4.0 8.3 ALTA CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:L/VA:N/SC:H/SI:L/SA:N Reconocimientos Simon Weber y Volker Schönefeld de Machine Spirits UG informaron esta vulnerabilidad a CISA Aviso Legal y Términos de Uso Este producto se proporciona sujeto a esta Notificación (https://www.cisa.gov/notification) y esta política de Privacidad y Uso (https://www.cisa.gov/privacy-policy). Prácticas Recomendadas CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de esta vulnerabilidad. Minimizar la exposición de la red para todos los dispositivos y/o sistemas de control, asegurando que no sean accesibles desde internet. Ubicar las redes de sistemas de control y dispositivos remotos detrás de cortafuegos y aislarlos de las redes empresariales. Cuando se requiera acceso remoto, utilizar métodos más seguros, como Redes Privadas Virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconocer que la VPN es tan segura como los dispositivos conectados. CISA recuerda a las organizaciones realizar un análisis de impacto adecuado y una evaluación de riesgos antes de implementar medidas defensivas. CISA también proporciona una sección sobre prácticas de seguridad recomendadas para sistemas de control en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluyendo la Mejora de la Ciberseguridad de los Sistemas de Control Industrial con Estrategias de Defensa en Profundidad. CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para una defensa proactiva de los activos de ICS. Orientación de mitigación adicional y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics en el documento técnico, ICS-TIP-12-146-01B--Estrategias de Detección y Mitigación de Intrusiones Cibernéticas Dirigidas. Las organizaciones que observen actividad maliciosa sospechosa deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para seguimiento y correlación con otros incidentes. CISA también recomienda a los usuarios tomar las siguientes medidas para protegerse de ataques de ingeniería social: No hacer clic en enlaces web ni abrir archivos adjuntos en correos electrónicos no solicitados. Consultar Reconociendo y Evitando Estafas de Email para más información sobre cómo evitar estafas por email. Consultar Evitando Ataques de Ingeniería Social y Phishing para más información sobre ataques de ingeniería social. No se ha informado a CISA en este momento sobre ninguna explotación pública conocida que apunte específicamente a esta vulnerabilidad. Historial de Revisiones Fecha de Publicación Inicial: 2026-06-25 Resumen de la Revisión 2026-06-25 1 Publicación Inicial Aviso Legal y Términos de Uso
Enlace externo a cisa.gov
Artículos relacionados
cybersecurity
El ransomware JadePuffer utilizó un agente de IA para automatizar todo el ataque.
cybersecurity
Entidad del gobierno de EE. UU. pagó a Kairos 1 millón de dólares en caso de extorsión por robo de datos.
cybersecurity
