CVE-2024-52007

Versões do HAPI FHIR anteriores à 6.4.0

A análise XSLT realizada por vários componentes do HAPI FHIR está vulnerável a injeções de entidades externas XML. Essa vulnerabilidade pode ser explorada através do envio de um arquivo XML malicioso com uma tag DTD, permitindo potencialmente o acesso a dados do sistema host. Essa vulnerabilidade afeta casos de uso em que o org.hl7.fhir.core está sendo utilizado em um host onde clientes externos podem enviar XML. O número estimado de dispositivos potencialmente afetados não foi especificado.

Para versões anteriores à 6.4.0, atualize para a versão 6.4.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos componentes de análise XSLT para minimizar o risco de exploração. Evite usar o componente org.hl7.fhir.core em ambientes onde clientes externos possam enviar XML até que o problema seja resolvido. No momento, não há soluções alternativas conhecidas para esta vulnerabilidade além da atualização para a versão corrigida.