CVE-2026-49485 in FHIRالمعلومات

الملخص

بحسب VulDB • 17/07/2026

HAPI FHIR هو تنفيذ كامل لمعيار HL7 FHIR الخاص بتبادل المعلومات الصحية في بيئة Java. قبل الإصدارين 6.9.9 و6.9.4.2، كانت جميع تطبيقات FHIRPathEngine تقبل تعابير FHIRPath التعسفية وتقوم بتقييمها دون التحقق من صحة المدخلات (input validation)، كما أن دوال matches() وmatchesFull() وreplaceMatches() في FHIRPath تمرّر تعبيرات نمطية (regular expressions) يتحكم فيها المستخدم إلى Java's Pattern.compile() وString.replaceAll() عبر أداة مؤقت غير مكتملة. يمكن لمهاجم إرسال مورد يحتوي على نمط تعبير منتظم ضار يسبب تراجعاً كارثياً (catastrophic backtracking)، مما يستنفد موارد وحدة المعالجة المركزية ويسبب انقطاع الخدمة في نقطة نهاية HTTP الخاصة بـ FHIR Validator وفي وحدات org.hl7.fhir.* المتأثرة. تم إصلاح هذه المشكلة في الإصدارين 6.9.9 و6.9.4.2.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

30/05/2026

إفشاء

18/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379986

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Do you know our Splunk app?

Download it now for free!