CVE-2026-34361 - Kritische Sicherheitslücke in HAPI FHIR Java-Bibliothek
⚠️ CVE-Referenzen:
CVE-2026-34361
Zusammenfassung
In der HAPI FHIR Java-Bibliothek für Healthcare-Interoperabilität wurde eine kritische Sicherheitslücke entdeckt. Vor Version 6.9.4 konnte ein Angreifer über eine ungeschützte "/loadIG"-Schnittstelle Authentifizierungs-Tokens von legitimen FHIR-Servern stehlen. Die Kombination mit einem URL-Präfix-Matching-Fehler ermöglichte den Zugriff auf diese Daten. Das Problem wurde in Version 6.9.4 behoben.
HAPI FHIR is a complete implementation of the HL7 FHIR standard for healthcare interoperability in Java. Prior to version 6.9.4, the FHIR Validator HTTP service exposes an unauthenticated "/loadIG" endpoint that makes outbound HTTP requests to attacker-controlled URLs. Combined with a startsWith() URL prefix matching flaw in the credential provider (ManagedWebAccessUtils.getServer()), an attacker can steal authentication tokens (Bearer, Basic, API keys) configured for legitimate FHIR servers by registering a domain that prefix-matches a configured server URL. This issue has been patched in version 6.9.4.
Quelle: app.opencve.io