HAPI FHIR — это полная реализация стандарта HL7 FHIR для совместимости в сфере здравоохранения на Java. До версии 6.9.4 служба HTTP FHIR Validator предоставляла неаутентифицированную конечную точку «/loadIG», которая отправляла исходящие HTTP-запросы на URL-адреса, контролируемые злоумышленниками. В сочетании с ошибкой сопоставления префикса URL-адреса startWith() в поставщике учетных данных (ManagedWebAccessUtils.getServer()) злоумышленник может украсть токены аутентификации (ключи носителя, базовые ключи, ключи API), настроенные для законных серверов FHIR, зарегистрировав домен, префикс которого соответствует настроенному URL-адресу сервера.
Эта проблема исправлена в версии 6.9.4.
Показать оригинальное описание (EN)
HAPI FHIR is a complete implementation of the HL7 FHIR standard for healthcare interoperability in Java. Prior to version 6.9.4, the FHIR Validator HTTP service exposes an unauthenticated "/loadIG" endpoint that makes outbound HTTP requests to attacker-controlled URLs. Combined with a startsWith() URL prefix matching flaw in the credential provider (ManagedWebAccessUtils.getServer()), an attacker can steal authentication tokens (Bearer, Basic, API keys) configured for legitimate FHIR servers by registering a domain that prefix-matches a configured server URL. This issue has been patched in version 6.9.4.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Hapifhir Hl7_Fhir_Core
cpe:2.3:a:hapifhir:hl7_fhir_core:*:*:*:*:*:*:*:*
|
— |
6.9.4
|