HAPI FHIR : SSRF non authentifié via les chaînes /loadIG avec fuite d'informations d'identification startsWith() pour le vol de jetons d'authentification

HAPI FHIR est une implémentation complète de la norme HL7 FHIR pour l'interopérabilité des soins de santé en Java. Avant la version 6.9.4, le service HTTP FHIR Validator expose un point de terminaison « /loadIG » non authentifié qui effectue des requêtes HTTP sortantes vers des URL contrôlées par l'attaquant. Combiné à un défaut de correspondance de préfixe d'URL startsWith() dans le fournisseur d'informations d'identification (ManagedWebAccessUtils.getServer()), un attaquant peut voler des jetons d'authentification (Bearer, Basic, clés API) configurés pour des serveurs FHIR légitimes en enregistrant un domaine qui correspond au préfixe d'une URL de serveur configurée. Ce problème a été corrigé dans la version 6.9.4.