CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-34361

Critical
Published: Translated: NVD NIST

Summary

HAPI FHIR to pełna implementacja standardu HL7 FHIR dla interoperacyjności w opiece zdrowotnej w Javie. Przed wersją 6.9.4, usługa walidatora FHIR HTTP udostępniała nieautoryzowany punkt końcowy '/loadIG', który umożliwiał wysyłanie żądań HTTP do adresów URL kontrolowanych przez atakującego.

Risk Assessment

Atakujący może wykraść tokeny uwierzytelniające (Bearer, Basic, klucze API) skonfigurowane dla legalnych serwerów FHIR, co stwarza poważne zagrożenie dla bezpieczeństwa danych w organizacji.

Recommendation

Zaleca się aktualizację do wersji 6.9.4 lub nowszej, aby usunąć tę podatność oraz zabezpieczyć konfigurację serwerów FHIR przed nieautoryzowanym dostępem.

Original NVD description (English source)

HAPI FHIR is a complete implementation of the HL7 FHIR standard for healthcare interoperability in Java. Prior to version 6.9.4, the FHIR Validator HTTP service exposes an unauthenticated "/loadIG" endpoint that makes outbound HTTP requests to attacker-controlled URLs. Combined with a startsWith() URL prefix matching flaw in the credential provider (ManagedWebAccessUtils.getServer()), an attacker can steal authentication tokens (Bearer, Basic, API keys) configured for legitimate FHIR servers by registering a domain that prefix-matches a configured server URL. This issue has been patched in version 6.9.4.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS