漏洞风险提示（20260204）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 MedDream PACS Premium fetchPriorStudies功能跨站脚本漏洞（CVE-2025-46270）
一、漏洞描述：
        
        MedDream PACS Premium是MedDream公司的一款企业级图像存储与管理服务器套件。
        MedDream PACS Premium fetchPriorStudies功能存在跨站脚本漏洞，攻击者可利用该漏洞导致执行任意JavaScript代码。
二、风险等级：
        高
三、影响范围：
        MedDream PACS Premium 7.3.6.870
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://meddream.com/products/meddream-pacs-server/

---

2 Apache NimBLE代码问题漏洞（CVE-2025-53477）
一、漏洞描述：
        
        Apache NimBLE是美国阿帕奇（Apache）基金会的一个开源蓝牙5.4堆栈（主机和控制器），完全取代Nordic芯片组上的专有SoftDevice。它是Apache Mynewt项目的一部分。
        Apache NimBLE 1.8.0及之前版本存在代码问题漏洞，该漏洞源于缺少对HCI连接完成或HCI命令TX缓冲区的验证，攻击者可利用该漏洞导致空指针取消引用。
二、风险等级：
        高
三、影响范围：
        Apache NimBLE V1.9.0之前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://mynewt.apache.org/

---

3 Apache SIS XML外部实体注入漏洞（CVE-2025-68280）
一、漏洞描述：
        
        Apache SIS是美国阿帕奇软件基金会的一套用于处理地理空间数据的Java库。
        Apache SIS存在XML外部实体注入漏洞。攻击者可利用该漏洞构造恶意XML文件，读取服务器本地文件内容。
二、风险等级：
        高
三、影响范围：
        Apache Apache Isis ≥0.4，≤1.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        http://www.openwall.com/lists/oss-security/2026/01/05/11

---

4 Apache NiFi代码问题漏洞（CVE-2025-66524）
一、漏洞描述：
        
        Apache NiFi是美国阿帕奇（Apache）基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。
        Apache NiFi存在代码问题漏洞，该漏洞源于GetAsanaObject Processor使用未过滤的Java对象反序列化，攻击者可利用该漏洞导致执行任意代码。
二、风险等级：
        高
三、影响范围：
        Apache Nifi ≥1.20.0，≤2.6.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://nifi.apache.org/download/

---