CVE-2026-34361
KrytyczneStreszczenie
HAPI FHIR to pełna implementacja standardu HL7 FHIR dla interoperacyjności w opiece zdrowotnej w Javie. Przed wersją 6.9.4, usługa walidatora FHIR HTTP udostępniała nieautoryzowany punkt końcowy '/loadIG', który umożliwiał wysyłanie żądań HTTP do adresów URL kontrolowanych przez atakującego.
Ocena ryzyka
Atakujący może wykraść tokeny uwierzytelniające (Bearer, Basic, klucze API) skonfigurowane dla legalnych serwerów FHIR, co stwarza poważne zagrożenie dla bezpieczeństwa danych w organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 6.9.4 lub nowszej, aby usunąć tę podatność oraz zabezpieczyć konfigurację serwerów FHIR przed nieautoryzowanym dostępem.
Oryginalny opis (angielski, źródło NVD)
HAPI FHIR is a complete implementation of the HL7 FHIR standard for healthcare interoperability in Java. Prior to version 6.9.4, the FHIR Validator HTTP service exposes an unauthenticated "/loadIG" endpoint that makes outbound HTTP requests to attacker-controlled URLs. Combined with a startsWith() URL prefix matching flaw in the credential provider (ManagedWebAccessUtils.getServer()), an attacker can steal authentication tokens (Bearer, Basic, API keys) configured for legitimate FHIR servers by registering a domain that prefix-matches a configured server URL. This issue has been patched in version 6.9.4.

