Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en MedDream PACS de Softneta

Fecha de publicación 06/09/2023
Identificador

INCIBE-2023-0371

Importancia
5 - Crítica
Recursos Afectados

MedDreams PACS, versiones 7.2.8.810 y anteriores.

Descripción

​Noam Moshe de Claroty Research ha reportado 2 vulnerabilidades, una de severidad media y una de severidad crítica, cuya explotación podría permitir a un atacante obtener y filtrar credenciales en texto plano o ejecutar remotamente código arbitrario.

Solución

Softneta ha lanzado la versión v7.2.9.820 para dar solución a las vulnerabilidades reportadas.

Detalle
  • CVE-2023-40150: el producto afectado no realiza una comprobación de autenticación y ejecuta algunas funciones peligrosas, que podrían dar lugar a una ejecución remota de código sin autenticación.
  • CVE-2023-39227: el producto afectado almacena nombres de usuario y contraseñas en texto plano, lo que podría ser aprovechado por un atacante para filtrar credenciales de usuarios legítimos.