Dotasek

**Nome do Software Vulnerável e Versões Afetadas** Versões do HL7 FHIR IG Publisher anteriores à 1.7.4 **Descrição** A ferramenta de publicação HL7 FHIR IG, utilizada para criar IGs FHIR padrão, possui um problema onde as transformações XSLT realizadas por seus componentes são suscetíveis a injeções de entidade externa XML. Um arquivo XML especialmente criado contendo uma tag DTD maliciosa `( ]>` poderia potencialmente expor dados do sistema hospedeiro. Isso é particularmente relevante em cenários onde o `org.hl7.fhir.publisher` é utilizado em um ambiente onde clientes externos podem enviar arquivos XML. Uma tentativa anterior de corrigir este problema foi considerada incompleta mediante testes adicionais. **Recomendações** Versões anteriores à 1.7.4 devem ser atualizadas para a versão 1.7.4 para corrigir este problema.

**Nome do software vulnerável e versões afetadas** Versões do Ucum-java anteriores à 1.0.9 **Descrição** O problema está relacionado a injeções de entidades externas XML no UcumEssenceService. Isso ocorre durante a análise de XML, permitindo que uma tag DTD maliciosa em um arquivo XML processado gere XML contendo dados do sistema host. Isso afeta cenários em que o Ucum-java é usado dentro de um host e clientes externos podem enviar XML. **Recomendações** Para versões anteriores à 1.0.9, atualize para a versão 1.0.9 para corrigir a vulnerabilidade. Como solução alternativa temporária, certifique-se de que o XML de origem para instanciar o UcumEssenceService seja confiável.

**Nome do software vulnerável e versões afetadas** Versões do HAPI FHIR anteriores à 6.4.0 **Descrição** A análise XSLT realizada por vários componentes do HAPI FHIR está vulnerável a injeções de entidades externas XML. Essa vulnerabilidade pode ser explorada através do envio de um arquivo XML malicioso com uma tag DTD, permitindo potencialmente o acesso a dados do sistema host. Essa vulnerabilidade afeta casos de uso em que o org.hl7.fhir.core está sendo utilizado em um host onde clientes externos podem enviar XML. O número estimado de dispositivos potencialmente afetados não foi especificado. **Recomendações** Para versões anteriores à 6.4.0, atualize para a versão 6.4.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos componentes de análise XSLT para minimizar o risco de exploração. Evite usar o componente `org.hl7.fhir.core` em ambientes onde clientes externos possam enviar XML até que o problema seja resolvido. No momento, não há soluções alternativas conhecidas para esta vulnerabilidade além da atualização para a versão corrigida.