HAPI FHIR: 未認証のSSRF脆弱性: /loadIG チェーン経由でstartsWith()による認証トークン窃取の認証情報漏洩

HAPI FHIRは、Javaにおける医療相互運用性のためのHL7 FHIR標準の完全な実装です。バージョン6.9.4より前のバージョンでは、FHIR Validator HTTPサービスは、攻撃者が制御するURLへのアウトバウンドHTTPリクエストを行う、未認証の「/loadIG」エンドポイントを公開しています。認証情報プロバイダー(ManagedWebAccessUtils.getServer())のstartsWith() URLプレフィックスマッチングの欠陥と組み合わせることで、攻撃者は、設定されたサーバーURLにプレフィックス一致するドメインを登録することにより、正当なFHIRサーバー用に構成された認証トークン（Bearer、Basic、APIキー）を盗むことができます。この問題はバージョン6.9.4で修正されました。