CVE-2026-49120
HighCVSS 8.5Summary
Medplum w wersjach przed 5.1.14 zawiera podatność typu server-side request forgery w workerze subskrypcyjnym, która pozwala uwierzytelnionym użytkownikom na wykonywanie nieautoryzowanych żądań do wewnętrznej sieci poprzez tworzenie zasobów subskrypcyjnych FHIR z dowolnymi adresami URL. Atakujący mogą kierować te subskrypcje na wewnętrzne adresy, co umożliwia wykradanie danych uwierzytelniających IAM oraz rekordów zdrowotnych pacjentów.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym dostęp do wrażliwych danych oraz zasobów wewnętrznych, co może prowadzić do naruszenia prywatności pacjentów i utraty zaufania do systemu.
Recommendation
Zaleca się aktualizację Medplum do wersji 5.1.14 lub nowszej, aby usunąć tę podatność oraz przegląd zabezpieczeń systemu w celu zminimalizowania ryzyka nieautoryzowanego dostępu.
Original NVD description (English source)
Medplum before 5.1.14 contains a server-side request forgery vulnerability in the subscription worker that allows authenticated users to perform unauthorized internal network requests by creating FHIR Subscription resources with arbitrary endpoint URLs. Attackers can point subscription endpoints at internal addresses such as cloud instance metadata services, internal databases, or container orchestration endpoints to exfiltrate IAM credentials and patient health records via the POST body containing full FHIR resource payloads.

