Katalog CVE

CVE-2026-45574

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

ePA4all-client to klient Java dla epa4all / ePA 3.0 w Telematik Infrastruktur. Przed wersją 1.2.2, atakujący w sieci mógł przedstawić dowolny certyfikat TLS i przechwycić cały ruch SOAP, w tym identyfikatory pacjentów oraz operacje związane z kartą SMC-B.

Ocena ryzyka

Podatność ta naraża organizację na przechwytywanie wrażliwych danych pacjentów oraz operacji autoryzacyjnych, co może prowadzić do poważnych naruszeń prywatności i bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do wersji 1.2.2 lub nowszej, aby zabezpieczyć się przed tą podatnością.

Oryginalny opis (angielski, źródło NVD)

epa4all-client is the Java Client for epa4all / ePA 3.0 in the Telematik Infrastruktur. Prior to 1.2.2, an attacker on the network path between the ePA service and the Konnektor can present any TLS certificate (self-signed, expired, wrong CN) and intercept all SOAP traffic. This includes patient identifiers (KVNR), SMC-B card operations (authentication, signing), document content, and credential exchanges. This vulnerability is fixed in 1.2.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS