HAPI FHIR: ReDoS via FHIRPath matches()/replaceMatches() in FHIR Validator HTTP Endpoint — CVE-2026-45367
GitHub · GitHub · CVE-2026-45367
CVE-2026-45367
GitHub
GitHub
high
7.5
Résumé
## Summary All implementations of FHIRPathEngine accept arbitrary FHIRPath expressions and evaluate them without input validation. The FHIRPath functions `matches()`, `matchesFull()`, and `replaceMatches()` pass user-controlled regular expressions directly to Java's `Pattern.compile()` and `String.replaceAll()` without complexity checks or timeouts. An attacker can send a resource containing an evil regex pattern…
Produit
maven: ca.uhn.hapi.fhir:org.hl7.fhir.dstu2 | maven: ca.uhn.hapi.fhir:org.hl7.fhir.dstu2016may | maven: ca.uhn.hapi.fhir:org.hl7.fhir.dstu3 | maven: ca.uhn.hapi.fhir:org.hl7.fhir.r4 | maven: ca.uhn.hapi.fhir:org.hl7.fhir.r4b | maven: ca.uhn.hapi.fhir:org.hl7.fhir.r5 | maven: ca.uhn.hapi.fhir:org.hl7.fhir.validation | maven: ca.uhn.hapi.fhir:org.hl7.fhir.validation.cli
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.