Orthanc Server是一款广泛使用的医疗影像处理软件,其缺乏基本验证功能的漏洞已被发现并公布为CVE-2025-0896。这个漏洞的严重性非常高,可能导致攻击者未经授权访问敏感信息、修改记录或导致系统拒绝服务。
风险评估
成功利用此漏洞,攻击者可以泄露敏感信息、修改记录或导致系统拒绝服务。CVE-2025-0896被分配了一个CVSS v3.1基准评分为9.8,其CVSS向量字符串为(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。此外,也计算了一个CVSS v4评分,为9.2,其CVSS向量字符串为(AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N)。
受影响产品
以下Orthanc产品受到了影响:
- Orthanc服务器:版本号小于1.5.8
漏洞概述
Orthanc服务器版本号小于1.5.8未启用基本验证功能,当远程访问被启用时,可能导致未经授权访问。Amitay Dan和Souvik Kandar报告了此漏洞,并将其提交给CISA。
背景
此漏洞影响的是医疗保健和公共卫生领域的关键基础设施。Orthanc服务器被全球范围内部署,公司总部位于比利时。
缓解措施
Orthanc建议用户更新到最新版本或通过配置文件设置“AuthenticationEnabled”为true来启用HTTP验证。CISA建议用户采取以下防御措施来降低漏洞被利用的风险:
- 尽量减少所有控制系统设备和系统的网络暴露,使其不被互联网访问。
- 将控制系统网络和远程设备放置在防火墙后,并将其与业务网络隔离。
通过这些措施,可以显著降低Orthanc服务器未经授权访问的风险,确保系统安全性得到有效提升。