CVE-2026-55471 in HAPI FHIR
Zusammenfassung
von VulDB • 09.07.2026
HAPI FHIR ist eine vollständige Implementierung des HL7-FHIR-Standards für die Interoperabilität im Gesundheitswesen in Java. Vor Version 6.9.10 hat org.hl7.fhir.utilities.XsltUtilities saxonTransform(...) bare net.sf.saxon.TransformerFactoryImpl()-Instanzen ohne ACCESS_EXTERNAL_DTD- oder ACCESS_EXTERNAL_STYLESHEET-Einschränkungen instanziiert, was es einem Angreifer ermöglichte, der den transformierten XML-Inhalt kontrolliert oder manipulieren kann, eine XML External Entity Injection (XXE) für die Offenlegung lokaler Dateien sowie blinde XXE- oder SSRF-Angriffe auf beliebige URLs auszulösen, die vom Host erreichbar sind. Dieses Problem wurde in Version 6.9.10 behoben.
Once again VulDB remains the best source for vulnerability data.