Vulnerabilidad en FHIR Core Libraries (CVE-2023-28465)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
12/12/2023
Última modificación:
27/05/2025
Descripción
La función de descompresión de paquetes en HL7 (Nivel de salud 7) FHIR Core Libraries anteriores a 5.6.106 permite a los atacantes copiar archivos arbitrarios a ciertos directorios a través de directory traversal, si un nombre de directorio permitido es una subcadena del nombre del directorio elegido por el atacante. NOTA: este problema existe debido a una solución incompleta para CVE-2023-24057.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:hapifhir:hl7_fhir_core:*:*:*:*:*:*:*:* | 5.6.106 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/advisories/GHSA-9654-pr4f-gh6m
- https://www.smilecdr.com/our-blog
- https://www.smilecdr.com/our-blog/statement-on-cve-2023-24057-smile-digital-health
- https://github.com/advisories/GHSA-9654-pr4f-gh6m
- https://www.smilecdr.com/our-blog
- https://www.smilecdr.com/our-blog/statement-on-cve-2023-24057-smile-digital-health