关键信息总结 CVE编号: CVE-2025-53707 漏洞类型: Reflected Cross-Site Scripting (XSS) 受影响版本: MedDream PACS Premium 7.3.6.870 CVSS评分: 6.1 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N) CWE编号: CWE-79 - 描述: Improper Neutralization of Input During Web Page Generation (Cross-site Scripting) 漏洞描述 在MedDream PACS Premium的 脚本的功能中存在一个反射型XSS漏洞。攻击者可以通过发送带有恶意payload(例如含有未正确过滤的 参数)的请求,诱使受害者执行任意的JavaScript代码。 漏洞代码片段示例 这里的 变量直接来自用户输入并且没有经过任何检查或转义就被写入到了HTML中。 若攻击者构造如下恶意请求,网页将执行其中嵌套的脚本,并注入恶意的JavaScript代码: 点击恶意链接之后,受害者的浏览器会在页面上执行脚本,弹出用于演示XSS的警告。 时间线和报告 披露日期: 2025年9月2日——向供应商报告了漏洞。 补丁发布日期: 2025年12月5日——供应商发布了修复漏洞的补丁。 公开报告日期: 2026年1月20日——由Cisco Talos公开发布报告。 归功 发现问题的人是Cisco Talos团队的Marcin “Ic3wall” Noga。