CVE-2024-52007— HAPI FHIR 代码问题漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2024-52007 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
XXE vulnerability in XSLT parsing in `org.hl7.fhir.core`
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
HAPI FHIR is a complete implementation of the HL7 FHIR standard for healthcare interoperability in Java. XSLT parsing performed by various components are vulnerable to XML external entity injections. A processed XML file with a malicious DTD tag ( <!DOCTYPE foo [<!ENTITY example SYSTEM "/etc/passwd"> ]> could produce XML containing data from the host system. This impacts use cases where org.hl7.fhir.core is being used to within a host where external clients can submit XML. This is related to GHSA-6cr6-ph3p-f5rf, in which its fix (#1571 & #1717) was incomplete. This issue has been addressed in release version 6.4.0 and all users are advised to upgrade. There are no known workarounds for this vulnerability.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
XML外部实体引用的不恰当限制(XXE)
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
HAPI FHIR 代码问题漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
HAPI FHIR是HAPI FHIR开源的一个Java编写的 HL7 FHIR API。 HAPI FHIR 6.4.0版本之前存在代码问题漏洞,该漏洞源于各种组件执行的 XSLT 解析容易受到 XML 外部实体注入的攻击。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| hapifhir | org.hl7.fhir.core | < 6.4.0 | - |
二、漏洞 CVE-2024-52007 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
Qwen3.6-35B-A3B · 9596 chars
Pro+ 专属包含:
漏洞复现靶场录像(真实沙箱构建 + 触发,独家)
漏洞原理深度分析
触发条件与影响面
完整可执行 POC 代码
利用链与缓解建议
POC 打包下载
每月 100+ 条 AI 生成额度
三、漏洞 CVE-2024-52007 的情报信息
请登录查看更多情报信息。
CVE-2024-52007 厂商安全公告 (2)
CVE-2024-52007 概念验证 (1)
CVE-2024-52007 其他参考 (1)
- XML External Entity Prevention - OWASP Cheat Sheet Seriesx_refsource_MISC
IV. Related Vulnerabilities
V. Comments for CVE-2024-52007
暂无评论