漏洞概述 CVE-2026-25860 是 OpenClinic GA 的 DICOM 上传工作流中的一个反射型跨站脚本(XSS)漏洞。攻击者可以通过在 DICOM 文件的元数据字段(如 StudyDescription)中嵌入恶意 JavaScript 代码,当这些字段在浏览器中被渲染时,会导致 XSS 攻击。如果攻击成功,XSS 可以与 OpenClinic GA 的配置功能结合,修改图像处理命令设置,并通过 storePicture.jsp 触发命令执行。 影响范围 受影响版本:OpenClinic GA <= v5.351.19 (2026/05/12) 受影响功能:DICOM 图像上传处理程序 影响用户:已认证的用户 修复方案 更新软件:升级到最新版本,确保所有已知漏洞得到修复。 输入验证和输出编码:对所有用户输入进行严格的验证和编码,特别是元数据字段。 权限控制:确保敏感功能(如配置页面)受到严格的权限控制,防止未授权访问。 POC 代码 利用代码 总结 该漏洞允许攻击者通过反射型 XSS 注入恶意 JavaScript 代码,进而利用 OpenClinic GA 的配置功能实现远程命令执行。建议尽快更新软件并加强输入验证和权限控制,以防止此类攻击。