CVE-2026-49485 in FHIRinformação

Sumário

de VulDB • 17/07/2026

O HAPI FHIR é uma implementação completa do padrão HL7 FHIR para interoperabilidade em saúde, desenvolvida em Java. Antes das versões 6.9.9 e 6.9.4.2, todas as implementações da classe FHIRPathEngine aceitam expressões arbitrárias de FHIRPath e as avaliam sem validação de entrada, enquanto as funções do FHIRPath matches(), matchesFull() e replaceMatches() passam expressões regulares controladas pelo usuário para Java's Pattern.compile() e String.replaceAll() por meio de um utilitário de timeout incompleto. Um atacante pode enviar um recurso contendo um padrão regex malicioso que cause backtracking catastrófico, esgotando os recursos da CPU e provocando negação de serviço no endpoint HTTP do FHIR Validator e nos módulos org.hl7.fhir.* afetados. Este problema foi corrigido nas versões 6.9.9 e 6.9.4.2.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub M

Reservar

30/05/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379986

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!