HAPI FHIR：未经身份验证的 SSRF (Server-Side Request Forgery) 通过 /loadIG 链与 startsWith() 凭据泄露进行身份验证令牌盗窃

HAPI FHIR 是 HL7 FHIR 标准在 Java 中用于医疗互操作性的完整实现。在 6.9.4 版本之前，FHIR Validator HTTP 服务公开了一个未经身份验证的 "/loadIG" 端点，该端点向攻击者控制的 URL 发出出站 HTTP 请求。结合凭据提供程序 (ManagedWebAccessUtils.getServer()) 中 startsWith() URL 前缀匹配缺陷，攻击者可以通过注册一个与配置的服务器 URL 前缀匹配的域来窃取为合法 FHIR 服务器配置的身份验证令牌（Bearer、Basic、API 密钥）。此问题已在 6.9.4 版本中修复。