OHIF Viewer
OIDC-Token-Diebstahl durch extern kontrollierte URL
Eine in der offiziellen OHIF-Viewer-Distribution ausgelieferte Konfiguration ermöglicht es, dass ein präparierter Link die Session-Credentials eines authentifizierten Nutzers an einen angreiferkontrollierten Server sendet. Ein einziger Klick eines angemeldeten Klinik-Nutzers genügt; der Angreifer benötigt keine eigenen Credentials. Die OHIF-Maintainer haben einen Fix in v3.12.2 veröffentlicht: Die betroffenen Datenquellen prüfen die abgerufene URL nun gegen eine vom Betreiber konfigurierte Origin-Allowlist, bevor eine Anfrage den Token des Nutzers übernimmt. Deployments mit v3.12.0 oder älter sollten auf v3.12.2 oder neuer aktualisieren. Die Maintainer haben uns mitgeteilt, dass in Kürze eine CVE veröffentlicht wird; wir verlinken sie hier, sobald sie zugewiesen ist.
Dieser Sicherheitshinweis enthält im Rahmen der koordinierten Offenlegung nur eingeschränkte Informationen. Bitte schauen Sie später für weitere Details vorbei.
Beschreibung
Wir haben dies im Februar 2026 vertraulich an die OHIF-Maintainer gemeldet. Sie reagierten konstruktiv, entwickelten und veröffentlichten einen Fix und wirkten bei der Validierung der Behebung mit. Wir schätzen ihre Reaktionsbereitschaft und die Arbeit des Projekts an offener medizinischer Bildgebung.
Der Fix ist in OHIF Viewer v3.12.2 veröffentlicht. Die Datenquellen, die eine Studie von einer externen URL laden, wenden nun eine Origin-Policy an, bevor sie eine Anfrage stellen, die den Token des Nutzers trägt, sodass in authentifizierten Deployments nur vom Betreiber freigegebene Origins abgerufen werden und ein präparierter Link eine Token-tragende Anfrage nicht mehr an einen Angreifer-Server umleiten kann. Betreiber sollten auf v3.12.2 oder neuer aktualisieren. Die Maintainer haben uns mitgeteilt, dass in Kürze eine CVE veröffentlicht wird; wir verlinken sie hier, sobald sie zugewiesen ist.
Auswirkung
- Ein Angreifer, der einem authentifizierten OHIF-Nutzer einen präparierten Link zustellt, kann bewirken, dass dessen OIDC-Bearer-Token an einen angreiferkontrollierten Server übertragen wird. Der abgegriffene Token lässt sich gegen das Imaging-Backend wiedereinspielen, um auf die Patientenstudien (PHI) zuzugreifen, für die der Nutzer berechtigt ist. Die Ausnutzung erfordert lediglich einen einzigen Klick eines bereits authentifizierten Nutzers und keinerlei Credentials aufseiten des Angreifers.
Abhilfe
Aktualisieren Sie auf OHIF Viewer v3.12.2 oder neuer, das vor dem Abruf einer externen URL mit dem Token des Nutzers eine Origin-Allowlist anwendet. Deployments mit v3.12.0 oder älter bleiben bis zum Update betroffen.
Referenzen
So können wir helfen
Wer wir sind
Die Sicherheitsforscher hinter diesem Sicherheitshinweis.
Dr. rer. nat. Simon Weber
Senior Pentester & MedSec-Forscher
Ich evaluiere Ihr SaMD mit derselben branchenprägenden Sicherheitsexpertise, die ich dem BAK MV für die Überarbeitung des B3S-Standards beigetragen habe.
- Promotion über Krankenhaus-Cybersicherheit
- Kritische Schwachstellen in Krankenhaussystemen gefunden
- Alumni der THB MedSec-Forschungsgruppe
- gematik Security Hero
Dipl.-Inf. Volker Schönefeld
Senior Application Security Expert
Als ehemaliger CTO und Entwickler, der zum Pentester wurde, arbeite ich mit Ihrem Team zusammen, um Schwachstellen aufzudecken und Lösungen zu finden, die zu Ihrer Architektur passen.
- 20+ Jahre als CTO, 50+ Mio. App-Downloads
- Architektur und Absicherung großer IoT-Flotten
- Certified Web Exploitation Specialist
- gematik Security Hero
Penetrationstest gesucht?
Machine Spirits ist spezialisiert auf Sicherheitsbewertungen für Medizinprodukte und Gesundheits-IT. Von MDR-Penetrationstests bis C5-Cloud-Compliance helfen wir MedTech-Unternehmen, regulatorische Anforderungen zu erfüllen.