HAPI FHIR — это полная реализация стандарта HL7 FHIR для совместимости в сфере здравоохранения на Java. До версии 6.9.0 при настройке заголовков в HTTP-запросах внутренний HTTP-клиент сначала отправляет заголовки хосту в исходном URL-адресе, а также, если его просят следовать перенаправлениям и возвращается код ответа HTTP 30X, хосту, указанному в URL-адресе в значении заголовка ответа Location:. Отправка одного и того же набора заголовков последующим хостам является проблемой, поскольку этот заголовок часто содержит конфиденциальную информацию или данные, которые могут позволить другим выдать себя за запрос клиента.
Эта проблема исправлена в версии 6.9.0. Никаких известных обходных путей не существует.
Показать оригинальное описание (EN)
HAPI FHIR is a complete implementation of the HL7 FHIR standard for healthcare interoperability in Java. Prior to version 6.9.0, when setting headers in HTTP requests, the internal HTTP client sends headers first to the host in the initial URL but also, if asked to follow redirects and a 30X HTTP response code is returned, to the host mentioned in URL in the Location: response header value. Sending the same set of headers to subsequent hosts is a problem as this header often contains privacy sensitive information or data that could allow others to impersonate the client's request. This issue has been patched in release 6.9.0. No known workarounds are available.
Характеристики атаки
Последствия
Строка CVSS v3.1