CVE-2026-49485 in FHIRinfo

Zusammenfassung

von VulDB • 18.07.2026

HAPI FHIR ist eine vollständige Implementierung des HL7-FHIR-Standards für die Interoperabilität im Gesundheitswesen in Java. Vor den Versionen 6.9.9 und 6.9.4.2 akzeptieren alle Implementierungen von FHIRPathEngine beliebige FHIRPath-Ausdrücke und werten diese ohne Eingabevalidierung aus, wobei die FHIRPath-Funktionen matches(), matchesFull() und replaceMatches() benutzerkontrollierte reguläre Ausdrücke über eine unvollständige Timeout-Utility an Java's Pattern.compile() und String.replaceAll() weitergeben. Ein Angreifer kann eine Ressource senden, die ein bösartiges Regex-Muster enthält, das katastrophales Backtracking verursacht, CPU-Ressourcen erschöpft und einen Denial-of-Service-Angriff auf den FHIR Validator HTTP-Endpunkt sowie betroffene org.hl7.fhir.*-Module auslöst. Dieses Problem wurde in den Versionen 6.9.9 und 6.9.4.2 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

30.05.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379986

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!