Partywave

OpenClinic GA 5.351.19 contains a reflected cross-site scripting vulnerability in the DICOM image upload handler that allows attackers to execute arbitrary JavaScript in a victim's browser by embedding malicious payloads in DICOM file metadata fields. Attackers can craft a DICOM file with JavaScript payloads in metadata fields such as Study Description, which are reflected without sanitization in popup.jsp and archiving/uploadfiles jsp.java when processed through the Upload DICOM images feature.

**Nome do software vulnerável e versões afetadas** Weasis versão 4.5.1 **Descrição** O problema diz respeito a uma chave codificada de forma rígida para a criptografia simétrica de credenciais de proxy no arquivo `ui/pref/ProxyPrefView.java`, localizado no componente weasis-core do Weasis. Essa chave codificada de forma rígida é utilizada para a criptografia simétrica das credenciais de proxy. **Recomendações** Para a versão 4.5.1 do Weasis, considere desativar a criptografia simétrica das credenciais de proxy até que um patch esteja disponível para corrigir o problema da chave codificada. Restrinja o acesso ao arquivo `ui/pref/ProxyPrefView.java` para minimizar o risco de exploração. Evite usar a chave codificada para a criptografia simétrica das credenciais de proxy no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.