← 戻る
Webアプリケーション
CVE-2026-49120 high CVSS 8.5

Medplum before 5.1.14 contains a server-side request forgery vulnerability in the subscription...

概要

Medplum before 5.1.14 contains a server-side request forgery vulnerability in the subscription...

AI要約 openai / gpt-4o

Medplum 5.1.14未満のバージョンには、サブスクリプションワーカーにサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が存在します。認証されたユーザーが任意のエンドポイントURLを持つFHIRサブスクリプションリソースを作成することで、許可されていない内部ネットワークリクエストを実行可能です。攻撃者はクラウドインスタンスのメタデータサービスや内部データベース、コンテナオーケストレーションエンドポイントなどに指向させ、IAM資格情報や患者の健康記録などを漏洩させる可能性があります。
❓ 何が問題か
Medplumのサブスクリプションワーカーにおけるサーバーサイドリクエストフォージェリ(SSRF)の脆弱性。
📍 影響範囲
Medplum 5.1.14未満のバージョン。
🔥 重要度
認証されたユーザーが内部ネットワークへの不正なリクエストを行えるため、高度な情報漏洩のリスクがあります。
🔧 修正方法
バージョンを5.1.14以上にアップデートする。
🛡️ 暫定回避
情報なし
🔍 検知方法
サブスクリプションエンドポイントのアクセスログを確認し、異常なリクエストを検出する。

参照URL

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →