CVE-2026-49485 in FHIR
要約
〜によって VulDB • 2026年07月18日
HAPI FHIRは、Javaによる医療相互運用性のためのHL7 FHIR標準の完全な実装です。バージョン6.9.9および6.9.4.2より前では、FHIRPathEngineの実装すべてが任意のFHIRPath式を受け入れ、入力検証なしでそれらを評価します。また、FHIRPath関数であるmatches()、matchesFull()、replaceMatches()は、不完全なタイムアウトユーティリティを介して、ユーザー制御可能な正規表現をJavaのPattern.compile()およびString.replaceAll()に渡します。攻撃者は、カタストロフィックバックトラッキングを引き起こしCPUリソースを使い果たすことでFHIR Validator HTTPエンドポイントおよび影響を受けるorg.hl7.fhir.*モジュールでサービス拒否(DoS)を引き起こす悪意のある正規表現パターンを含むリソースを送信できます。この問題はバージョン6.9.9および6.9.4.2で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.