CVE-2025-24363

Nome do Software Vulnerável e Versões Afetadas Versões do HL7 FHIR IG publisher anteriores à 1.8.9

Descrição O HL7 FHIR IG publisher apresenta um problema onde expõe nomes de usuário e credenciais no Guia de Implementação gerado ao utilizar comandos git para determinar a URL do repositório de origem em contextos de CI. Isso ocorre se o repositório foi clonado ou configurado para utilizar um repositório com uma URL baseada em nome de usuário e credenciais. Usuários que clonam repositórios públicos sem credenciais não são impactados.

Recomendações Para versões anteriores à 1.8.9, atualize para a versão 1.8.9 ou a versão mais recente. Como solução temporária, garanta que o repositório do IG sendo publicado não possua nome de usuário ou credenciais incluídos na URL origin executando o comando git remote origin url para verificar se a URL não contém nome de usuário, senha ou token. Alternativamente, execute o IG Publisher CLI com o parâmetro -repo e especifique uma URL que não contenha nome de usuário, senha ou token.