「HL7 FHIR」のJava実装「HAPI FHIR」にパストラバーサルの脆弱性

「HL7 FHIR」のJava実装である「HAPI FHIR」にパストラバーサルの脆弱性が明らかとなった。1月にも修正が行われたが、対策が不十分だったことが判明したという。

アーカイブファイルの展開時に任意のディレクトリへファイルを書き込むことが可能となるパストラバーサルの脆弱性「CVE-2023-28465」が明らかとなったもの。

宛先に悪意あるディレクトリが含まれていないか検証する機能において、マンインザミドル（MITM）攻撃でバイパスが可能となる脆弱性「CVE-2023-24057」が判明。同脆弱性については「同5.6.92」「同1.2.30」にて修正されたが対策が不十分であることが明らかとなったという。

いずれの脆弱性もGitHubにおいて重要度が「クリティカル（Critical）」とレーティングされている。

「同HL7 FHIR core」をはじめ、「同utilities」「同R5」「同R4B」「同convertors」「同validation」など各パッケージに影響があり、開発グループでは、「同5.6.106」にて脆弱性を修正している。

（Security NEXT - 2023/04/06 ）ツイート