平台
java
组件
ca.uhn.hapi.fhir:org.hl7.fhir.validation
修复版本
6.9.5
6.9.4
CVE-2026-34361 是 org.hl7.fhir.validation 组件中的一个严重的安全漏洞,属于 SSRF (服务器端请求伪造) 类型。该漏洞允许攻击者通过未认证的 /loadIG 端点发起请求,并利用 URL 前缀匹配缺陷窃取认证信息。受影响的版本包括 6.9.3 及更早版本。已发布补丁版本 6.9.4,建议尽快升级。
该 SSRF 漏洞的影响极其严重,攻击者可以利用 /loadIG 端点向攻击者控制的 URL 发送请求,绕过认证机制。更关键的是,ManagedWebAccessUtils.getServer() 中的 URL 前缀匹配缺陷允许攻击者注册一个与合法 FHIR 服务器 URL 前缀匹配的域名,从而窃取配置的认证令牌,例如 Bearer 令牌、Basic 认证信息和 API 密钥。攻击者可以利用这些令牌访问敏感数据,执行未经授权的操作,甚至可能实现横向移动,进一步扩大攻击范围。此漏洞类似于其他 SSRF 漏洞,可能导致数据泄露和系统被攻陷。
CVE-2026-34361 已于 2026 年 3 月 30 日公开披露。目前尚无公开的 PoC (概念验证) 代码,但漏洞的严重性和潜在影响使其成为攻击者的潜在目标。由于涉及认证令牌窃取,该漏洞可能被积极利用。建议密切关注 CISA KEV (已知已剥削漏洞) 目录,以获取最新的威胁情报。
漏洞利用状态
EPSS
0.04% (13% 百分位)
CISA SSVC
为了缓解 CVE-2026-34361 的风险,首要措施是立即升级到 6.9.4 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:首先,限制 /loadIG 端点的访问权限,仅允许受信任的来源访问。其次,审查并强化 FHIR 服务器的认证配置,确保令牌存储和访问控制的安全性。此外,可以部署 Web 应用防火墙 (WAF) 或代理服务器,拦截并阻止可疑的 SSRF 请求。最后,监控系统日志,检测异常的网络活动和认证令牌泄露。
升级 HAPI FHIR 到 6.9.4 或更高版本。 此版本修复了 SSRF 漏洞和凭证泄漏。 升级将防止未认证的攻击者利用 /loadIG 端点向攻击者控制的 URL 发送 HTTP 请求并窃取身份验证 Token。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-34361 是 org.hl7.fhir.validation 组件中的一个 SSRF 漏洞,允许攻击者通过未认证的 /loadIG 端点发起请求,并利用 URL 前缀匹配缺陷窃取认证令牌。
如果您正在使用 org.hl7.fhir.validation 组件的版本低于 6.9.4,则可能受到此漏洞的影响。请立即检查您的版本并升级。
建议升级到 6.9.4 或更高版本。如果无法立即升级,请参考缓解措施,例如限制 /loadIG 端点的访问权限和强化认证配置。
虽然目前尚无公开的 PoC 代码,但由于漏洞的严重性和潜在影响,它可能被积极利用。建议密切关注威胁情报。
请访问 HL7 官方网站或相关安全公告页面,以获取有关 CVE-2026-34361 的官方 advisory。
CVSS 向量
上传你的 pom.xml 文件,立即知道是否受影响。