Siemens Healthineers 发布了一个重要的安全更新,以解决其 syngo.plaza VB30E 医疗成像软件中的一个未经验证的 SQL 注入漏洞。该漏洞被识别为 CVE-2024-52335,CVSS 得分为 9.8,攻击者可利用该漏洞执行恶意 SQL 命令并入侵整个数据库。
该公告称:“syngo.plaza VB30E 包含未经验证的 SQL 注入漏洞,攻击者可利用该漏洞执行恶意 SQL 命令,从而控制数据库。”
syngo.plaza 是一个广泛使用的图片存档和通信系统 (PACS),它为医生提供了 “显示、处理、阅读、报告、打印通信、分发、存储和存档数字医学影像(包括乳腺摄影图像)”的工具。该漏洞源于输入数据在发送到 SQL 服务器之前的不当消毒。
该公告警告说:“这可能会让拥有应用程序访问权限的攻击者利用该漏洞执行恶意 SQL 命令,从而入侵整个数据库。”
为解决这一漏洞,西门子医疗集团发布了针对 syngo.plaza VB30E 的新热修复程序 (HF05)。公司强烈建议所有用户尽快将系统更新到最新版本。
除了更新到最新版本外,西门子医疗还建议用户遵循一般的安全最佳实践,如维护适当的备份和系统还原程序,并安全删除任何不必要的备份文件。
文章原文链接:https://www.anquanke.com/post/id/302599