Falsificación de solicitud del lado del servidor en Viewers DICOM de OHIF
OHIF DICOM Web Viewer Framework version v3.12.0 y anteriores.
Simon Weber y Volker Schönefeld, de Machine Spirits UG, han reportado una vulnerabilidad de severidad alta que, en caso de ser explotada, podría permitir a un atacante robar el token de un médico autenticado a través de un enlace manipulado.
El responsable del mantenimiento ha corregido la vulnerabilidad reportada y ha publicado la versión 3.12.2 (18/05/2026).
CVE-2026-12473: dos fuentes de datos (DICOMWebProxy y DICOMJSON) incluidas en la configuración predeterminada obtienen un parámetro URL arbitrario sin validación. Un servicio de autenticación global en OHIF inyecta automáticamente el token OIDC Bearer del usuario autenticado en las solicitudes resultantes, enviándolo al servidor controlado por el atacante. Las fuentes de datos DICOMweb no se ven afectadas.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-12473 | Alta | No | Open Health Imaging Foundation |
