高危漏洞预警｜英飞达医学影像存档与通信系统任意文件上传漏洞

文章预览

近日，众智维科技麒麟安全实验室监测到英飞达医学影像存档与通信系统的WebJobUpload接口存在任意文件上传漏洞。英飞达是一家专业开发医学影像系统的公司，成立于1994年，医学影像存档与通信系统 Picture Archiving and Communication System，由软件光盘、使用手册组成，组成模块包括影像采集模块、影像存储模块、影像浏览模块、影像输出模块。用于医疗图像的采集、存储、浏览、传输和输出。其WebJobUpload.asmx接口存在任意文件上传漏洞，未经身份验证的恶意攻击者可以上传任意文件，进而控制服务器系统。 漏洞概述 影响版本 英飞达医学影像存档与通信系统 处置建议 版本修复 目前官方已发布修复版本，建议用户升级到安全版本： https://www.infinitt.vip/ POC验证 POST /webservices/WebJobUpload.asmx HTTP/1.1 Host : {{Hostname}} User-Agent : Mozilla/5.0 (Windows NT 10.0; Win64; x64) Apple ………………………………