CVE-2026-49485 in FHIR
요약
\~에 의해 VulDB • 2026. 07. 18.
HAPI FHIR은 Java 기반의 의료 상호 운용성을 위한 HL7 FHIR 표준에 대한 완전한 구현체입니다. 버전 6.9.9 및 6.9.4.2 이전에서는 모든 FHIRPathEngine 구현체가 임의의 FHIRPath 표현식을 입력 검증 없이 수락하고 평가하며, FHIRPath 함수인 matches(), matchesFull(), replaceMatches()는 불완전한 타임아웃 유틸리티를 통해 사용자 제어 정규식(Regular Expression)을 Java의 Pattern.compile() 및 String.replaceAll()로 전달합니다. 공격자는 치명적인 백트래킹(Catastrophic Backtracking)을 유발하여 CPU 자원을 고갈시키고 FHIR Validator HTTP 엔드포인트 및 관련 org.hl7.fhir.* 모듈에서 서비스 거부(Denial of Service, DoS)를 초래하는 악성 정규식 패턴이 포함된 리소스를 전송할 수 있습니다. 이 문제는 버전 6.9.9 및 6.9.4.2에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.