Уязвимость BDU:2025-00559

Идентификатор: BDU:2025-00559.

Наименование уязвимости: Уязвимость модуля разбора URL-адресов системы управления медицинскими изображениями и данными Sante PACS Server PG, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость модуля разбора URL-адресов системы управления медицинскими изображениями и данными Sante PACS Server PG связана с недостаточной проверкой данных при разборе URL-адреса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Уязвимое ПО: Сетевое средство, Сетевое программное средство Santesoft LTD Sante PACS Server PG до 4.0.10 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 20.01.2025.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:P/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению:
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— использование межсетевого экрана уровня приложений (WAF);
— ограничение доступа к веб-интерфейсу управления устройством;
— использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания попыток эксплуатации уязвимости;
— использование виртуальных частных сетей для организации удаленного доступа (VPN);
— ограничение доступа к устройствам из внешних сетей (Интернет)..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-0574. ZDI-25-055. ZDI-CAN-25318.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.zerodayinitiative.com/advisories/ZDI-CAN-25318/