Vulnerabilidad en HAPI FHIR (CVE-2024-52007)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
08/11/2024
Última modificación:
12/11/2024
Descripción
HAPI FHIR es una implementación completa del estándar HL7 FHIR para la interoperabilidad de la atención médica en Java. El análisis XSLT realizado por varios componentes es vulnerable a las inyecciones de entidades externas XML. Un archivo XML procesado con una etiqueta DTD maliciosa ( ]> podría producir XML que contenga datos del sistema host. Esto afecta los casos de uso en los que se utiliza org.hl7.fhir.core dentro de un host donde los clientes externos pueden enviar XML. Esto está relacionado con GHSA-6cr6-ph3p-f5rf, en el que su corrección (#1571 y #1717) estaba incompleta. Este problema se ha solucionado en la versión de lanzamiento 6.4.0 y se recomienda a todos los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
8.60
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html#jaxp-documentbuilderfactory-saxparserfactory-and-dom4j
- https://cwe.mitre.org/data/definitions/611.html
- https://github.com/hapifhir/org.hl7.fhir.core/issues/1571
- https://github.com/hapifhir/org.hl7.fhir.core/pull/1717
- https://github.com/hapifhir/org.hl7.fhir.core/security/advisories/GHSA-6cr6-ph3p-f5rf
- https://github.com/hapifhir/org.hl7.fhir.core/security/advisories/GHSA-gr3c-q7xf-47vh