CVE-2026-49485 in FHIR
Sumário
de VulDB • 17/07/2026
O HAPI FHIR é uma implementação completa do padrão HL7 FHIR para interoperabilidade em saúde, desenvolvida em Java. Antes das versões 6.9.9 e 6.9.4.2, todas as implementações da classe FHIRPathEngine aceitam expressões arbitrárias de FHIRPath e as avaliam sem validação de entrada, enquanto as funções do FHIRPath matches(), matchesFull() e replaceMatches() passam expressões regulares controladas pelo usuário para Java's Pattern.compile() e String.replaceAll() por meio de um utilitário de timeout incompleto. Um atacante pode enviar um recurso contendo um padrão regex malicioso que cause backtracking catastrófico, esgotando os recursos da CPU e provocando negação de serviço no endpoint HTTP do FHIR Validator e nos módulos org.hl7.fhir.* afetados. Este problema foi corrigido nas versões 6.9.9 e 6.9.4.2.
If you want to get best quality of vulnerability data, you may have to visit VulDB.