cybersecurity

OHIF Nézők DICOM

Forrás: cisa.gov 3 perc olvasás

Megosztás

OHIF Nézők DICOM

Összefoglalót olvas. A teljes tartalom itt érhető el: cisa.gov.

Tekintse meg a CSAF összefoglalót A sérülékenység ezen verziójának sikeres kihasználása lehetővé teheti egy támadó számára, hogy ellopja egy hitelesített klinikus tokenjét egy speciálisan elkészített hivatkozáson keresztül. Az alábbi OHIF DICOM megjelenítők verziói érintettek: OHIF DICOM Web Viewer Framework <=v3.12.0 CVSS Szállító Eszköz Sérülékenységek v3 8.2 Open Health Imaging Foundation (OHIF) OHIF DICOM Megjelenítők Szerveroldali Kérés Hamisítás (SSRF) Háttér Kritikus Infrastruktúra Szektorok: Egészségügy és közegészségügy Országok/területek: Világszerte Cég Székhelye: Egyesült Államok Sérülékenységek Terjedjünk ki mind + CVE-2026-12473 Két adatforrás (DICOMWebProxy és DICOMJSON), amelyek az alapértelmezett konfigurációval kerültek kiadásra, érvényesítés nélküli tetszőleges URL paramétert kérnek le. Az OHIF globális hitelesítési szolgáltatása automatikusan beilleszti a hitelesített felhasználó OIDC Bearer tokenjét a kapott kérésekbe, amelyeket a támadó által irányított szerverre küldenek. A DICOMweb adatforrások nincsenek hatással. Tekintse meg a CVE részleteit Érintett termékek OHIF DICOM megjelenítők Szállító: Open Health Imaging Foundation (OHIF) Termék verzió: Open Health Imaging Foundation (OHIF) OHIF DICOM Web Viewer Framework: <=v3.12.0 Termék állapot: ismert_érintett Megoldások Csökkentés Az ügyfélkör kezelője javította a bejelentett sérülékenységet és kiadta a 3.12.2 verziót (2026-05-18). A javítás az OHIF/Viewers#5985 (master), OHIF/Viewers#5978 (release/3.12) helyen található. Csökkentés A felhasználóknak javasolt frissíteni a v3.12.2 vagy újabb verzióra. Azoknak az üzemeltetőknek, akiknek DICOMWebProxy vagy DICOMJSON a hitelesített telepítésekhez szükséges, továbbiakban konfigurálniuk kell az új dangerouslyAllowedOriginsForAuthenticatedEnvironments fehérlistát az app-config.js fájlban. Csökkentés Az OHIF-et hitelesítéssel futtató felhasználóknak el kell távolítaniuk AZ ÖSSZES fel nem használt DicomWebProxyDataSource és DicomJSONDataSource konfigurációt a használt konfigurációs fájlból. Kapcsolódó CWE: CWE-918 Szerveroldali Kérés Hamisítás (SSRF) Méretek CVSS Verzió Alap Pontszám Alap Súlyosság Vektor String 3.1 8.2 MAGAS CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N 4.0 8.3 MAGAS CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:L/VA:N/SC:H/SI:L/SA:N Elismerések Simon Weber és Volker Schönefeld a Machine Spirits UG-től bejelentették ezt a sérülékenységet a CISA-nak Jogi Nyilatkozat és Felhasználási Feltételek Ez a termék a következő Értesítés (https://www.cisa.gov/notification) és a következő Adatvédelmi & Használati politika (https://www.cisa.gov/privacy-policy) alá érhető el. Ajánlott gyakorlatok A CISA javasolja a felhasználóknak, hogy védelmi intézkedéseket tegyenek a sérülékenység kihasználásának kockázatának minimalizálása érdekében. Minimalizálja a hálózati expozíciót minden vezérlőrendszer berendezés és/vagy rendszerek esetében, biztosítva, hogy az interneten ne legyenek elérhetők. Helyezze a vezérlőrendszer hálózatait és a távoli eszközöket tűzfalak mögé, elkülönítve őket az üzleti hálózatoktól. Amikor távoli hozzáférés szükséges, használjon biztonságosabb módszereket, például virtuális magánhálózatokat (VPN), felismerve, hogy a VPN-eknek lehetnek sérülékenységeik és a legfrissebb verzióra kell frissíteni őket. Szintén felismerve, hogy a VPN csak annyira biztonságos, mint a csatlakozott eszközök. A CISA emlékezteti a szervezeteket, hogy megfelelő hatásvizsgálatot és kockázatértékelést végezzenek a védekező intézkedések telepítése előtt. A CISA emellett nyújt egy szekciót a védelmi gyakorlatokról az ICS weboldalon a cisa.gov/ics-en. Több CISA termék, amelyek a kibervédelem legjobb gyakorlatait részletezik, elérhetők olvasásra és letöltésre, beleértve a Vezérlőrendszerek Kibervédelmének Fokozását Részletes Stratégiai Mélységgel. A CISA bátorítja a szervezeteket, hogy valósítsák meg a javasolt kiberbiztonsági stratégiákat ICS eszközök proaktív védelme érdekében. További csökkentési iránymutatás és ajánlott gyakorlatok nyilvánosan elérhetők az ICS weboldalon a cisa.gov/ics technikai információs dokumentumában, ICS-TIP-12-146-01B--Célzott kibertámadás és csökkentési stratégiák. Azok a szervezetek, amelyek gyanús rosszindulatú tevékenységet észlelnek, kövessék a meglévő belső eljárásokat és jelentsék az eredményeket a CISA-nak a nyomon követés és az egyéb eseményekkel való összekapcsolás érdekében. A CISA azt is javasolja a felhasználóknak, hogy tegyenek meg a következő intézkedéseket a társadalmi manipulációs támadások ellen: Ne kattintson webhivatkozásokra, és ne nyisson meg mellékleteket kéretlen e-mailekben. Hivatkozzon a Kéretlen e-mail csalások felismerése és elkerülése című dokumentumra a csalások elkerüléséről további információkért. Hivatkozzon a társadalmi manipulációs és phishing támadások elkerülése ügyében további információkért. Jelenleg nem jelentettek be a CISA-nak ismert nyilvános kihasználást, amely kifejezetten ezt a sérülékenységet célozza meg. Változási történelem Kezdeti kiadási dátum: 2026-06-25 Dátum Változás összefoglaló 2026-06-25 1 Kezdeti közzététel Jogi Nyilatkozat és Felhasználási Feltételek

Kapcsolódó cikkek