Siemens Healthineers 发布了一个重要的安全更新，以解决其 syngo.plaza VB30E 医疗成像软件中的一个未经验证的 SQL 注入漏洞。该漏洞被识别为 CVE-2024-52335，CVSS 得分为 9.8，攻击者可利用该漏洞执行恶意 SQL 命令并入侵整个数据库。

该公告称：“syngo.plaza VB30E 包含未经验证的 SQL 注入漏洞，攻击者可利用该漏洞执行恶意 SQL 命令，从而控制数据库。”

syngo.plaza 是一个广泛使用的图片存档和通信系统 (PACS)，它为医生提供了 “显示、处理、阅读、报告、打印通信、分发、存储和存档数字医学影像（包括乳腺摄影图像）”的工具。该漏洞源于输入数据在发送到 SQL 服务器之前的不当消毒。

该公告警告说：“这可能会让拥有应用程序访问权限的攻击者利用该漏洞执行恶意 SQL 命令，从而入侵整个数据库。”

为解决这一漏洞，西门子医疗集团发布了针对 syngo.plaza VB30E 的新热修复程序 (HF05)。公司强烈建议所有用户尽快将系统更新到最新版本。

除了更新到最新版本外，西门子医疗还建议用户遵循一般的安全最佳实践，如维护适当的备份和系统还原程序，并安全删除任何不必要的备份文件。