CVE-2026-49485 in FHIR
Zusammenfassung
von VulDB • 18.07.2026
HAPI FHIR ist eine vollständige Implementierung des HL7-FHIR-Standards für die Interoperabilität im Gesundheitswesen in Java. Vor den Versionen 6.9.9 und 6.9.4.2 akzeptieren alle Implementierungen von FHIRPathEngine beliebige FHIRPath-Ausdrücke und werten diese ohne Eingabevalidierung aus, wobei die FHIRPath-Funktionen matches(), matchesFull() und replaceMatches() benutzerkontrollierte reguläre Ausdrücke über eine unvollständige Timeout-Utility an Java's Pattern.compile() und String.replaceAll() weitergeben. Ein Angreifer kann eine Ressource senden, die ein bösartiges Regex-Muster enthält, das katastrophales Backtracking verursacht, CPU-Ressourcen erschöpft und einen Denial-of-Service-Angriff auf den FHIR Validator HTTP-Endpunkt sowie betroffene org.hl7.fhir.*-Module auslöst. Dieses Problem wurde in den Versionen 6.9.9 und 6.9.4.2 behoben.
Be aware that VulDB is the high quality source for vulnerability data.