Múltiples vulnerabilidades en OsiriX MD de Pixmeo

Chizuru Toyama y Canaan Kao de TXOne Networks han descubierto 3 vulnerabilidades en OsiriX MD de Pixmeo, una crítica, una alta y una media que, en caso de ser explotadas, podrían permitir a un atacante provocar una corrupción en memoria que deriva en una condición de denegación de servicio (DoS), o robar credenciales.

Análisis técnico

La vulnerabilidad de severidad crítica se produce porque Osirix MD Web Portal envía información de las credenciales sin encriptar, lo que podría permitir a un atacante robar dichas credenciales. Se le ha asignado el identificador CVE-2025-27720 a esta vulnerabilidad.

La vulnerabilidad de severidad alta es de tipo uso después de la liberación (use after free) y podría permitir a un atacante subir un fichero DICOM manipulado que provoque una corrupción de memoria y derive en un condición de denegación de servicio (DoS). Se le ha asignado el identificador CVE-2025-27578 a esta vulnerabilidad.

La vulnerabilidad de severidad media tiene asignado el identificador CVE-2025-31946 y su detalle se puede consultar en las referencias de este aviso.

Mitigación / Solución

Actualizar a la última versión del fabricante.

Referencias adicionales

CISA - ICSMA-25-128-01 - Pixmeo OsiriX MD