漏洞关键信息 漏洞编号: TALOS-2025-2262 CVE编号: CVE-2025-54861 漏洞类型: 反射型跨站脚本 (XSS) 受影响产品: MedDream PACS Premium 受影响版本: 7.3.6.870 CVSSv3 评分: 6.1 CWE编号: CWE-79 - 在网页生成过程中输入处理不当(XSS) 发现者: Marcin 'Icewall' Noga from Cisco Talos 时间线: - 2025-09-02: 厂商披露 - 2025-12-05: 厂商发布补丁 - 2026-01-20: 公开发布 漏洞细节 脆弱功能: 功能中的 脚本 漏洞原因: 参数在不进行任何验证或转义的情况下直接写入 HTML 输出。 攻击示例: - 攻击者可以构造一个包含恶意的 来注入恶意的 HTML/JavaScript 代码。 - 示例请求和响应: