← Back
Web Application
CVE-2026-49120 high CVSS 8.5

Medplum before 5.1.14 contains a server-side request forgery vulnerability in the subscription...

Summary

Medplum before 5.1.14 contains a server-side request forgery vulnerability in the subscription...

AI summary openai / gpt-4o

Medplum 5.1.14未満のバージョンには、サブスクリプションワーカーにサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が存在します。認証されたユーザーが任意のエンドポイントURLを持つFHIRサブスクリプションリソースを作成することで、許可されていない内部ネットワークリクエストを実行可能です。攻撃者はクラウドインスタンスのメタデータサービスや内部データベース、コンテナオーケストレーションエンドポイントなどに指向させ、IAM資格情報や患者の健康記録などを漏洩させる可能性があります。
❓ What is the problem
Medplumのサブスクリプションワーカーにおけるサーバーサイドリクエストフォージェリ(SSRF)の脆弱性。
📍 Affected scope
Medplum 5.1.14未満のバージョン。
🔥 Severity
認証されたユーザーが内部ネットワークへの不正なリクエストを行えるため、高度な情報漏洩のリスクがあります。
🔧 How to fix
バージョンを5.1.14以上にアップデートする。
🛡️ Workaround
情報なし
🔍 Detection
サブスクリプションエンドポイントのアクセスログを確認し、異常なリクエストを検出する。

References

🍪 About cookies

We use cookies to keep you logged in, remember your language, and improve the service.

Details →