HAPI FHIR: ReDoS via FHIRPath matches()/replaceMatches() in FHIR Validator HTTP Endpoint — CVE-2026-45367
GitHub · GitHub · CVE-2026-45367
CVE-2026-45367
GitHub
GitHub
high
7.5
Zusammenfassung
## Summary All implementations of FHIRPathEngine accept arbitrary FHIRPath expressions and evaluate them without input validation. The FHIRPath functions `matches()`, `matchesFull()`, and `replaceMatches()` pass user-controlled regular expressions directly to Java's `Pattern.compile()` and `String.replaceAll()` without complexity checks or timeouts. An attacker can send a resource containing an evil regex pattern…
Produkt
maven: ca.uhn.hapi.fhir:org.hl7.fhir.dstu2 | maven: ca.uhn.hapi.fhir:org.hl7.fhir.dstu2016may | maven: ca.uhn.hapi.fhir:org.hl7.fhir.dstu3 | maven: ca.uhn.hapi.fhir:org.hl7.fhir.r4 | maven: ca.uhn.hapi.fhir:org.hl7.fhir.r4b | maven: ca.uhn.hapi.fhir:org.hl7.fhir.r5 | maven: ca.uhn.hapi.fhir:org.hl7.fhir.validation | maven: ca.uhn.hapi.fhir:org.hl7.fhir.validation.cli
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.