Aviso SCI Recursos Afectados
- Sante PACS Server versión 4.1.0 y anteriores.
Descripción
Sante PACS Server está afectado por 4 vulnerabilidades, una de severidad crítica y 3 altas que, de ser explotadas, podrían permitir a un atacante, entre otras acciones, provocar una denegación de servicio y descargar archivos arbitrarios en la unidad de disco donde está instalada la aplicación.
Identificador INCIBE-2025-0141 5 - Crítica Solución
Actualizar a la última versión del producto, Sante PACS Server versión 4.2.0.
Detalle
Al iniciar sesión en el servidor web en "Sante PACS Server.exe", se llama a la función OpenSSL EVP_DecryptUpdate para descifrar el nombre de usuario y la contraseña. Esta función tiene como búfer de salida un búfer fijo de pila de 0x80 bytes. Si un atacante remoto no autenticado proporciona un nombre de usuario o una contraseña cifrados largos, produce un desbordamiento de búfer de pila.
Se ha asignado el identificador CVE-2025-2263 para esta vulnerabilidad de severidad crítica.
El resto de vulnerabilidades no críticas se detallan en los en laces de la sección de 'Referencias'.
Listado de referencias Tenable - TRA-2025-08 - Multiple Vulnerabilities in Sante PACS Server Feedly - CVE-2025-2263 Etiquetas