Opis podatności

CERT Polska otrzymał zgłoszenia o 8 podatnościach w oprogramowaniu CGM CLININET oraz CGM NETRAAD i koordynował proces ujawniania informacji.

Podatność CVE-2025-10350 typu SQL Injection w oprogramowaniu CGM NETRAAD w module imageserver, podczas przetwarzania zapytań C-FIND, umożliwia atakującemu podłączonemu do PACS uzyskanie dostępu do bazy danych, w tym do danych przetwarzanych przez oprogramowanie CGM CLININET. Podatność dotyczy CGM NETRAAD z modułem imageserver w wersjach starszych niż 7.9.0.

Podatność CVE-2025-30035: Podatność pozwala na całkowite ominięcie uwierzytelniania w CGM CLININET i dostęp do systemu na dowolnym, aktywnym koncie użytkownika, po podaniu jego nazwy, bez znajomości hasła ani posiadania żadnych dodatkowych danych. Posiadanie ID sesji jest równoznaczne z możliwością jej przejęcia i dostępem do systemu z uprawnieniami tego użytkownika.

Podatność CVE-2025-30042: CGM CLININET posiada zaimplementowaną funkcjonalność logowania przy użyciu karty inteligentnej. Uwierzytelnienie przeprowadzane jest lokalnie po stronie użytkownika, jednak w rzeczywistości przyjmowany jest jedynie numer certyfikatu. W rezultacie do uwierzytelnienia wystarczy samo posiadanie numeru certyfikatu, niezależnie od faktycznej obecności karty inteligentnej lub posiadania klucza prywatnego.

Podatność CVE-2025-30044: W CGM CLININET, w endpointach: /cgi-bin/CliniNET.prd/utils/usrlogstat_simple.pl, /cgi-bin/CliniNET.prd/utils/usrlogstat.pl, /cgi-bin/CliniNET.prd/utils/userlogstat2.pl oraz /cgi-bin/CliniNET.prd/utils/dblogstat.pl parametry nie są wystarczająco normalizowane, co umożliwia wstrzyknięcie kodu.

Podatność CVE-2025-30062: W CGM CLININET, w usłudze CheckUnitCodeAndKey.pl, w funkcji validateOrgUnit, istnieje możliwość wstrzyknięcia polecenia SQL.

Podatność CVE-2025-58402: Aplikacja CGM CLININET wykorzystuje bezpośrednie, sekwencyjne identyfikatory MessageID bez weryfikacji uprawnień użytkownika. Manipulacja parametrem w żądaniu GET umożliwia odczyt wiadomości oraz załączników innych użytkowników.

Podatność CVE-2025-58405: Aplikacja CGM CLININET nie implementuje żadnych mechanizmów zapobiegających atakom typu clickjacking. Nie wykryto nagłówków bezpieczeństwa HTTP ani zabezpieczeń przed pomijaniem ramek opartych na HTML. W rezultacie, atakujący może osadzić aplikację w złośliwie spreparowanej ramce IFRAME i nakłonić użytkowników do wykonania niezamierzonych działań, w tym potencjalnego ominięcia zabezpieczeń CSRF/XSRF.

Podatność CVE-2025-58406: Aplikacja CGM CLININET odpowiada bez niezbędnych nagłówków HTTP zapewniających bezpieczeństwo, narażając użytkowników na ataki po stronie klienta, takie jak clickjacking, podsłuchiwanie MIME, niebezpieczne buforowanie, słaba izolacja między domenami i brak kontroli bezpieczeństwa warstwy transportowej.

Podziękowania

Za zgłoszenie podatności CVE-2025-10350, CVE-2025-30035, CVE-2025-30042, CVE-2025-30044 oraz CVE-2025-30062 dziękujemy Maciejowi Kazulakowi.