PT-2026-41778 · Maven+1 · Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Dstu2+14

Publicado

2026-05-18

·

Atualizado

2026-07-10

·

CVE-2026-45367

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do Software Vulnerável e Versões Afetadas FHIRPathEngine (versões afetadas não especificadas)
Description As implementações do FHIRPathEngine avaliam expressões FHIRPath arbitrárias sem validação de entrada. As funções matches(), matchesFull() e replaceMatches() passam expressões regulares controladas pelo usuário diretamente para o Pattern.compile() e String.replaceAll() do Java, sem verificações de complexidade ou tempos limite. Isso permite que um invasor forneça um padrão de regex malicioso que desencadeia o backtracking catastrófico—uma condição em que o mecanismo de regex leva um tempo exponencial para determinar se uma string corresponde a um padrão—levando à exaustão da CPU e Negação de Serviço (DoS).
Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

DoS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-45367
GHSA-3653-68V6-RQ57

Produtos afetados

Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Dstu2
Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Dstu2016May
Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Dstu3
Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.R4
Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.R4B
Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.R5
Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Validation
Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Validation.Cli
Io.Root.Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Dstu2
Io.Root.Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Dstu2016May
Io.Root.Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Dstu3
Io.Root.Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.R4
Io.Root.Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.R4B
Io.Root.Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.R5
Io.Root.Ca.Uhn.Hapi.Fhir:Org.Hl7.Fhir.Validation