Softneta MedDream - CVE-2023-40150

Date de publication :

Date de mise à jour :

Softneta MedDream PACS est un serveur d’archivage et de communication d’imagerie médicale compatible avec le système de gestion des données de santé DICOM Viewer, commercialisé par la société Softneta.

Un défaut de contrôle de l’authentification dans Softneta MedDream PACS permet à un attaquant distant, en envoyant des requêtes spécifiquement forgées, d’exécuter du code arbitraire.

CVE-2023-40150

[Score CVSS v3.1: 9.8]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire

Exploitation

La vulnérabilité exploitée est du type
CWE-749: Exposed Dangerous Method or Function

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Faible
•    Privilèges nécessaires pour réaliser l'attaque : Aucun
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Une preuve de concept est disponible en sources ouvertes.

Systèmes ou composants affectés

Softneta MedDream PACS version 7.2.8.810 et antérieures

Solutions ou recommandations

Mettre à jour Softneta MedDream PACS vers la version 7.2.9820 ou ultérieure, ou appliquer le correctif v230712 de Softneta.

Des informations complémentaires sont disponibles dans le bulletin du CISA.

Liens