CVE-2026-49485 in FHIR情報

要約

〜によって VulDB • 2026年07月18日

HAPI FHIRは、Javaによる医療相互運用性のためのHL7 FHIR標準の完全な実装です。バージョン6.9.9および6.9.4.2より前では、FHIRPathEngineの実装すべてが任意のFHIRPath式を受け入れ、入力検証なしでそれらを評価します。また、FHIRPath関数であるmatches()、matchesFull()、replaceMatches()は、不完全なタイムアウトユーティリティを介して、ユーザー制御可能な正規表現をJavaのPattern.compile()およびString.replaceAll()に渡します。攻撃者は、カタストロフィックバックトラッキングを引き起こしCPUリソースを使い果たすことでFHIR Validator HTTPエンドポイントおよび影響を受けるorg.hl7.fhir.*モジュールでサービス拒否(DoS)を引き起こす悪意のある正規表現パターンを含むリソースを送信できます。この問題はバージョン6.9.9および6.9.4.2で修正されています。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub M

予約する

2026年05月30日

モデレーション

承諾済み

エントリ

VDB-379986

EPSS

0.00000

アクティビティ

低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!