C
月内に
OHIF Viewers DICOMのカスタム統合バージョンにおいて、SSRF(サーバー側リクエスト偽造)の脆弱性
📌 一言でいうと
OHIF Viewers DICOMのカスタム統合バージョンにおいて、SSRF(サーバー側リクエスト偽造)の脆弱性が発見されました。攻撃者が細工したリンクを介して、認証済み臨床医のOIDCベアラートークンを窃取できる可能性があります。影響を受けるバージョンはv3.12.0以前です。
🔍該当判定
- 医療用画像(DICOM)の閲覧ソフト「OHIF Viewer」を利用している
- OHIF Viewerのバージョンが v3.12.0 以前である
- OHIF Viewerにおいて「DICOMWebProxy」または「DICOMJSON」というデータソース設定を使用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
影響を受けるバージョンの利用を停止し、最新の修正済みバージョンへのアップデートを検討してください。また、不審なリンクをクリックしないようユーザーに注意喚起してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】OHIF Viewers DICOM CVE-2026-12473 対応について
お疲れさまです。OHIF Viewers DICOMの脆弱性に関する情報共有です。
■ 概要
カスタム統合バージョンにおいて、URLパラメータの検証不足によるSSRFの脆弱性が確認されました。攻撃者が細工したリンクをユーザーに踏ませることで、認証済みユーザーのOIDCベアラートークンが攻撃者のサーバーへ送信される恐れがあります(CVSS v3: 8.2)。
■ 影響範囲
- OHIF DICOM Web Viewer Framework v3.12.0 以前(カスタム統合バージョン)
■ 対応手順
1. 自社環境でOHIF Viewers DICOMのカスタム統合版を利用しているか確認してください。
2. 該当する場合、最新バージョンへのアップデートを適用してください。
3. DICOMWebProxyおよびDICOMJSONデータソースの設定を確認してください。
■ 参考情報
- CISA ICS Medical Advisory (ICSMA-26-176-02)
対応優先度: 高
対応期限: 速やかに
お疲れさまです。OHIF Viewers DICOMの脆弱性に関する情報共有です。
■ 概要
カスタム統合バージョンにおいて、URLパラメータの検証不足によるSSRFの脆弱性が確認されました。攻撃者が細工したリンクをユーザーに踏ませることで、認証済みユーザーのOIDCベアラートークンが攻撃者のサーバーへ送信される恐れがあります(CVSS v3: 8.2)。
■ 影響範囲
- OHIF DICOM Web Viewer Framework v3.12.0 以前(カスタム統合バージョン)
■ 対応手順
1. 自社環境でOHIF Viewers DICOMのカスタム統合版を利用しているか確認してください。
2. 該当する場合、最新バージョンへのアップデートを適用してください。
3. DICOMWebProxyおよびDICOMJSONデータソースの設定を確認してください。
■ 参考情報
- CISA ICS Medical Advisory (ICSMA-26-176-02)
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] OHIF Viewers DICOM CVE-2026-12473
Dear IT/Security Team,
We are sharing information regarding a vulnerability in OHIF Viewers DICOM.
■ Overview
An SSRF vulnerability exists in custom integration versions due to lack of validation of URL parameters in DICOMWebProxy and DICOMJSON data sources. This could allow an attacker to steal an authenticated clinician's OIDC Bearer token via a crafted link (CVSS v3: 8.2).
■ Affected Scope
- OHIF DICOM Web Viewer Framework v3.12.0 and earlier (Custom integration versions)
■ Mitigation Steps
1. Verify if your environment uses custom integration versions of OHIF Viewers DICOM.
2. Update to the latest patched version immediately.
3. Review configurations for DICOMWebProxy and DICOMJSON data sources.
■ Reference
- CISA ICS Medical Advisory (ICSMA-26-176-02)
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a vulnerability in OHIF Viewers DICOM.
■ Overview
An SSRF vulnerability exists in custom integration versions due to lack of validation of URL parameters in DICOMWebProxy and DICOMJSON data sources. This could allow an attacker to steal an authenticated clinician's OIDC Bearer token via a crafted link (CVSS v3: 8.2).
■ Affected Scope
- OHIF DICOM Web Viewer Framework v3.12.0 and earlier (Custom integration versions)
■ Mitigation Steps
1. Verify if your environment uses custom integration versions of OHIF Viewers DICOM.
2. Update to the latest patched version immediately.
3. Review configurations for DICOMWebProxy and DICOMJSON data sources.
■ Reference
- CISA ICS Medical Advisory (ICSMA-26-176-02)
Priority: High
Deadline: Immediate