HAPI FHIR — это полная реализация стандарта HL7 FHIR для совместимости в сфере здравоохранения на Java. До версии 6.9.4 ManagedWebAccessUtils.getServer() использовал String.startsWith() для сопоставления URL-адресов запроса с настроенными URL-адресами сервера для отправки учетных данных проверки подлинности. Поскольку в URL-адресах настроенных серверов (например, http://tx.fhir.org) отсутствует косая черта или проверка границы хоста, домен, контролируемый злоумышленником, например http://tx.fhir.org.attacker.com, соответствует префиксу и получает токены носителя, базовые учетные данные аутентификации или ключи API, когда HTTP-клиент выполняет перенаправление на этот домен.
Эта проблема исправлена в версии 6.9.4.
Показать оригинальное описание (EN)
HAPI FHIR is a complete implementation of the HL7 FHIR standard for healthcare interoperability in Java. Prior to version 6.9.4, ManagedWebAccessUtils.getServer() uses String.startsWith() to match request URLs against configured server URLs for authentication credential dispatch. Because configured server URLs (e.g., http://tx.fhir.org) lack a trailing slash or host boundary check, an attacker-controlled domain like http://tx.fhir.org.attacker.com matches the prefix and receives Bearer tokens, Basic auth credentials, or API keys when the HTTP client follows a redirect to that domain. This issue has been patched in version 6.9.4.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Hapifhir Hl7_Fhir_Core
cpe:2.3:a:hapifhir:hl7_fhir_core:*:*:*:*:*:*:*:*
|
— |
6.9.4
|