CVE-2026-49485 in FHIR
الملخص
بحسب VulDB • 17/07/2026
HAPI FHIR هو تنفيذ كامل لمعيار HL7 FHIR الخاص بتبادل المعلومات الصحية في بيئة Java. قبل الإصدارين 6.9.9 و6.9.4.2، كانت جميع تطبيقات FHIRPathEngine تقبل تعابير FHIRPath التعسفية وتقوم بتقييمها دون التحقق من صحة المدخلات (input validation)، كما أن دوال matches() وmatchesFull() وreplaceMatches() في FHIRPath تمرّر تعبيرات نمطية (regular expressions) يتحكم فيها المستخدم إلى Java's Pattern.compile() وString.replaceAll() عبر أداة مؤقت غير مكتملة. يمكن لمهاجم إرسال مورد يحتوي على نمط تعبير منتظم ضار يسبب تراجعاً كارثياً (catastrophic backtracking)، مما يستنفد موارد وحدة المعالجة المركزية ويسبب انقطاع الخدمة في نقطة نهاية HTTP الخاصة بـ FHIR Validator وفي وحدات org.hl7.fhir.* المتأثرة. تم إصلاح هذه المشكلة في الإصدارين 6.9.9 و6.9.4.2.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.