← 戻る
CVE-2026-49120
high
CVSS 8.5
Medplum before 5.1.14 contains a server-side request forgery vulnerability in the subscription...
概要
Medplum before 5.1.14 contains a server-side request forgery vulnerability in the subscription...
AI要約 openai / gpt-4o
Medplum 5.1.14未満のバージョンには、サブスクリプションワーカーにサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が存在します。認証されたユーザーが任意のエンドポイントURLを持つFHIRサブスクリプションリソースを作成することで、許可されていない内部ネットワークリクエストを実行可能です。攻撃者はクラウドインスタンスのメタデータサービスや内部データベース、コンテナオーケストレーションエンドポイントなどに指向させ、IAM資格情報や患者の健康記録などを漏洩させる可能性があります。
❓ 何が問題か
Medplumのサブスクリプションワーカーにおけるサーバーサイドリクエストフォージェリ(SSRF)の脆弱性。
📍 影響範囲
Medplum 5.1.14未満のバージョン。
🔥 重要度
認証されたユーザーが内部ネットワークへの不正なリクエストを行えるため、高度な情報漏洩のリスクがあります。
🔧 修正方法
バージョンを5.1.14以上にアップデートする。
🛡️ 暫定回避
情報なし
🔍 検知方法
サブスクリプションエンドポイントのアクセスログを確認し、異常なリクエストを検出する。