Resumen ejecutivo
Chizuru Toyama de TXOne Networks ha descubierto 5 vulnerabilidades en Santesoft Sante PACS Server de Santesoft, 1 de severidad crítica, 1 de severidad alta y 3 de severidad media. Una explotación exitosa de estas vulnerabilidades podría permitir a un atacante crear ficheros arbitrarios, causar una denegación del servicio, obtener información sensible y robar la cookie del usuario.
Recursos afectados
Santesoft Sante PACS Server, versiones anteriores a 4.2.3.
Análisis técnico
Las vulnerabilidades de severidad crítica y alta son:
- CVE-2025-53948: Sante PACS Server permite a un atacante remoto finalizar el hilo principal enviando un mensaje HL7 manipulado, produciendo una denegación del servicio. No hace falta autenticación, y la aplicación requeriría un reinicio manual.
- CVE-2025-54156: El portal web de Sante PACS Server envía la información de las credenciales sin ninguna clase de cifrado.
Mitigación / Solución
Santesoft recomienda a los usuarios actualizar PACS Server a la versión 4.2.3 o posterior.