HAPI FHIR: /loadIG चेन्स के माध्यम से बिना प्रमाणीकरण वाला SSRF (Unauthenticated SSRF), startsWith() क्रेडेंशियल लीक (Credential Leak) प्रमाणीकरण टोकन चोरी के लिए

HAPI FHIR जावा में हेल्थकेयर इंटरऑपरेबिलिटी (healthcare interoperability) के लिए HL7 FHIR मानक का एक पूर्ण कार्यान्वयन है। संस्करण 6.9.4 से पहले, FHIR वैलिडेटर HTTP सर्विस (FHIR Validator HTTP service) एक बिना प्रमाणीकरण वाला "/loadIG" एंडपॉइंट (endpoint) उजागर करता है जो हमलावर द्वारा नियंत्रित URL पर आउटबाउंड HTTP अनुरोध करता है। क्रेडेंशियल प्रोवाइडर (credential provider) (ManagedWebAccessUtils.getServer()) में startsWith() URL प्रीफिक्स मैचिंग (prefix matching) दोष के साथ संयुक्त, एक हमलावर एक कॉन्फ़िगर किए गए सर्वर URL से प्रीफिक्स-मैचिंग (prefix-matching) डोमेन को पंजीकृत करके वैध FHIR सर्वर के लिए कॉन्फ़िगर किए गए प्रमाणीकरण टोकन (Bearer, Basic, API keys) चुरा सकता है। इस समस्या को संस्करण 6.9.4 में ठीक कर दिया गया है।