Múltiples vulnerabilidades en OsiriX MD de Pixmeo
OsiriX MD, versiones 14.0.1 (Build 2024-02-28) y anteriores.
Chizuru Toyama y Canaan Kao de TXOne Networks han descubierto 3 vulnerabilidades en OsiriX MD de Pixmeo, una crítica, una alta y una media que, en caso de ser explotadas, podrían permitir a un atacante provocar una corrupción en memoria que deriva en una condición de denegación de servicio (DoS), o robar credenciales.
Actualizar a la última versión del fabricante.
La vulnerabilidad de severidad crítica se produce porque Osirix MD Web Portal envía información de las credenciales sin encriptar, lo que podría permitir a un atacante robar dichas credenciales. Se le ha asignado el identificador CVE-2025-27720 a esta vulnerabilidad.
La vulnerabilidad de severidad alta es de tipo uso después de la liberación (use after free) y podría permitir a un atacante subir un fichero DICOM manipulado que provoque una corrupción de memoria y derive en un condición de denegación de servicio (DoS). Se le ha asignado el identificador CVE-2025-27578 a esta vulnerabilidad.
La vulnerabilidad de severidad media tiene asignado el identificador CVE-2025-31946 y su detalle se puede consultar en las referencias de este aviso.
