CVE-2024-52807

Nome do Software Vulnerável e Versões Afetadas Versões do HL7 FHIR IG Publisher anteriores à 1.7.4

Descrição A ferramenta de publicação HL7 FHIR IG, utilizada para criar IGs FHIR padrão, possui um problema onde as transformações XSLT realizadas por seus componentes são suscetíveis a injeções de entidade externa XML. Um arquivo XML especialmente criado contendo uma tag DTD maliciosa ( ]> poderia potencialmente expor dados do sistema hospedeiro. Isso é particularmente relevante em cenários onde o org.hl7.fhir.publisher é utilizado em um ambiente onde clientes externos podem enviar arquivos XML. Uma tentativa anterior de corrigir este problema foi considerada incompleta mediante testes adicionais.

Recomendações Versões anteriores à 1.7.4 devem ser atualizadas para a versão 1.7.4 para corrigir este problema.