Istotna podatność w rozwiązaniu Healthcare INFINITT PACS
CSIRT CeZ ostrzega o wykrytej w ostatnim czasie istotnej podatności bezpieczeństwa w systemie Healthcare INFINITT PACS, oznaczonej identyfikatorem CVE-2025-27721.
Luka umożliwia nieautoryzowanemu użytkownikowi uzyskanie dostępu do systemu bez wymaganych uprawnień i autoryzacji. Podatność stanowi realne zagrożenie, zwłaszcza w środowiskach medycznych wykorzystujących system INFINITT PACS do archiwizacji i zarządzania obrazami diagnostycznymi pacjentów.
Czego dotyczy podatność?
- Podatność CVE-2025-27721 dotyczy systemu Healthcare INFINITT PACS do zarządzania i przechowywania medycznych obrazów diagnostycznych.
- Ocena: 8,7 High
- CVSS:3.1/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Jak działa podatność?
Błąd wynika z niewłaściwego mechanizmu uwierzytelniania i autoryzacji w oprogramowaniu INFINITT PACS. Atakujący nieposiadający żadnych uprawnień może wykorzystać lukę, aby uzyskać dostęp do systemu oraz wybranych zasobów, omijając standardowe zabezpieczenia.
W efekcie wykorzystania podatności możliwe jest nieautoryzowane przeglądanie, kopiowanie, modyfikowanie lub usuwanie wrażliwych danych medycznych, co stanowi poważne zagrożenie dla poufności i integralności informacji pacjentów.
Podatne systemy
- System INFINITT PACS: w wersji 3.0.11.5 BN9 i starszy.
Działania zapobiegawcze
- Niezwłocznie zaktualizuj wersję oprogramowania do wersji 3.0.11.5 BN10 lub nowszej, zalecanej przez producenta.
Źródło
Szczegółowe informacje dostępne są pod adresem: https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-100-01
W przypadku dodatkowych pytań lub potrzeby wsparcia, prosimy o kontakt z zespołem CSIRT CEZ: info [at] csirt.cez.gov.pl (info[at]csirt[dot]cez[dot]gov[dot]pl)