Vulnerabilidad en HL7 FHIR IG publisher (CVE-2025-24363)

El HL7 FHIR IG publisher es una herramienta para tomar un conjunto de entradas y crear un IG de FHIR estándar. Antes de la versión 1.8.9, en contextos de CI, la CLI del editor IG usa comandos git para determinar la URL del repositorio de origen. Si el repositorio se clonó o se configuró de otra manera para usar un repositorio que usa una URL basada en nombre de usuario y credenciales, la URL completa se incluirá en la Guía de implementación creado, exponiendo el nombre de usuario y las credenciales. Esto no afecta a los usuarios que clonan repositorios públicos sin credenciales, como aquellos que usan la infraestructura de integración continua auto-ig-build. Este problema se ha corregido en la versión 1.8.9. Algunos workarounds están disponibles. Los usuarios deben asegurarse de que el repositorio IG que están publicando no tenga nombre de usuario o credenciales incluidos en la URL `origin`. Ejecutar el comando `git remote origin url` debería devolver una URL que no contenga nombre de usuario, contraseña o token; o los usuarios deben ejecutar la CLI de IG Publisher con el parámetro `-repo` y especificar una URL que no contenga nombre de usuario, contraseña o token.