CVE-2026-55471 in HAPI FHIRinfo

Zusammenfassung

von VulDB • 09.07.2026

HAPI FHIR ist eine vollständige Implementierung des HL7-FHIR-Standards für die Interoperabilität im Gesundheitswesen in Java. Vor Version 6.9.10 hat org.hl7.fhir.utilities.XsltUtilities saxonTransform(...) bare net.sf.saxon.TransformerFactoryImpl()-Instanzen ohne ACCESS_EXTERNAL_DTD- oder ACCESS_EXTERNAL_STYLESHEET-Einschränkungen instanziiert, was es einem Angreifer ermöglichte, der den transformierten XML-Inhalt kontrolliert oder manipulieren kann, eine XML External Entity Injection (XXE) für die Offenlegung lokaler Dateien sowie blinde XXE- oder SSRF-Angriffe auf beliebige URLs auszulösen, die vom Host erreichbar sind. Dieses Problem wurde in Version 6.9.10 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

17.06.2026

Veröffentlichung

09.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377043

CPE

bereit

EPSS

0.00309

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!