PT-2026-41778 · Maven+1 · Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Dstu2+14
Publicado
2026-05-18
·
Atualizado
2026-07-10
·
CVE-2026-45367
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do Software Vulnerável e Versões Afetadas
FHIRPathEngine (versões afetadas não especificadas)
Description
As implementações do FHIRPathEngine avaliam expressões FHIRPath arbitrárias sem validação de entrada. As funções
matches(), matchesFull() e replaceMatches() passam expressões regulares controladas pelo usuário diretamente para o Pattern.compile() e String.replaceAll() do Java, sem verificações de complexidade ou tempos limite. Isso permite que um invasor forneça um padrão de regex malicioso que desencadeia o backtracking catastrófico—uma condição em que o mecanismo de regex leva um tempo exponencial para determinar se uma string corresponde a um padrão—levando à exaustão da CPU e Negação de Serviço (DoS).Recommendations
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Dstu2
Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Dstu2016May
Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Dstu3
Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.R4
Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.R4B
Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.R5
Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Validation
Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Validation.Cli
Io.Root.Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Dstu2
Io.Root.Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Dstu2016May
Io.Root.Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Dstu3
Io.Root.Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.R4
Io.Root.Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.R4B
Io.Root.Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.R5
Io.Root.Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Validation