阿里云漏洞库

中危 Santesoft Sante PACS Server SQL注入漏洞（CVE-2022-2272）

CVE编号

CVE-2022-2272

利用情况

暂无

补丁情况

没有补丁

披露时间

2022-08-04

漏洞描述

Santesoft Sante PACS Server是塞浦路斯Santesoft公司的一个符合DICOM 3.0的PACS服务器、Modality Worklist服务器、用于DICOM文件的HTTP（Web）服务器以及CD/DVD刻录和打印服务器。用于存储、存档、管理、查看和刻录医学图像。

Santesoft Sante PACS Server 3.0.4版本存在SQL注入漏洞。攻击者利用该漏洞可以绕过系统上的身份验证。

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://www.santesoft.com/win/sante-pacs-server-pg/whats_new.html

参考链接
https://www.zerodayinitiative.com/advisories/ZDI-22-955/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	santesoft	sante_pacs_server	3.0.4	-
	运行在以下环境
	系统	amazon_2	httpd	*		Up to (excluding) 2.4.53-1.amzn2
	运行在以下环境
	系统	amazon_2022	httpd	*		Up to (excluding) 2.4.53-3.amzn2022.0.1
	运行在以下环境
	系统	amazon_AMI	httpd	*		Up to (excluding) 2.4.53-1.96.amzn1
	运行在以下环境
	系统	fedora_34	httpd	*		Up to (excluding) 2.4.53-1.fc34
	运行在以下环境
	系统	fedora_35	httpd	*		Up to (excluding) 2.17-1.fc35
	运行在以下环境
	系统	fedora_36	httpd	*		Up to (excluding) 2.17-1.fc36
	运行在以下环境
	系统	fedora_37	httpd	*		Up to (excluding) 2.17-1.fc37
	运行在以下环境
	系统	fedora_EPEL_7	httpd	*		Up to (excluding) 2.17-1.el7
	运行在以下环境
	系统	fedora_EPEL_8	httpd	*		Up to (excluding) 2.17-1.el8
	运行在以下环境
	系统	opensuse_Leap_15.3	httpd	*		Up to (excluding) 2.4.51-150200.3.42.1
	运行在以下环境
	系统	redhat_6	httpd	*		Up to (excluding) 0:2.2.15-70.el6_10
	运行在以下环境
	系统	redhat_7	httpd	*		Up to (excluding) 0:2.4.6-97.el7_9.5
	运行在以下环境
	系统	suse_12_SP5	httpd	*		Up to (excluding) 2.4.51-35.13.1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

没有补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-89	SQL命令中使用的特殊元素转义处理不恰当（SQL注入）