CVE-2026-34361 — 神龙十问 AI 深度分析摘要

🚨 **本质**：HAPI FHIR 的 FHIR Validator HTTP 服务存在配置缺陷。 🔥 **后果**：暴露了未经身份验证的 `/loadIG` 端点，且凭证提供程序存在 URL 前缀匹配缺陷，直接导致 **身份验证令牌被盗**。 💥 **影响**：攻击者可利用泄露的令牌非法访问受保护的健康数据。

🔍 **CWE**：CWE-552 (Files or Directories Accessible to External Parties)。 🐛 **缺陷点**： 1. **未授权访问**：`/loadIG` 端点未做身份验证保护。 2. **逻辑漏洞**：凭证提供程序的 URL 前缀匹配逻辑存在缺陷，导致令牌验证绕过。

🏢 **厂商**：hapifhir。 📦 **组件**：`org.hl7.fhir.core`。 📉 **受影响版本**：**HAPI FHIR 6.9.4 之前**的所有版本。 ✅ **安全版本**：6.9.4 及以上。

🕵️ **黑客能力**： 1. **窃取令牌**：利用 URL 匹配缺陷获取有效的身份验证令牌。 2. **越权访问**：使用窃取的令牌冒充合法用户。 3. **数据泄露**：访问敏感的 HL7 FHIR 医疗数据（隐私数据）。

📊 **利用门槛**：**极低**。 🔓 **认证**：无需认证（PR:N）。 🌐 **攻击向量**：网络远程（AV:N）。 ⚡ **复杂度**：低（AC:L）。 👤 **用户交互**：无需用户交互（UI:N）。 📝 **CVSS**：高严重性，远程即可触发。

📜 **Exp/PoC**：当前数据中 **无现成 PoC**（pocs 为空）。 🌍 **在野利用**：暂无公开在野利用报告。 ⚠️ **注意**：虽然无 PoC，但漏洞原理清晰，利用代码极易编写。

🔎 **自查方法**： 1. **版本检查**：确认项目依赖的 `org.hl7.fhir.core` 版本是否 < 6.9.4。 2. **端口扫描**：扫描目标是否开放 FHIR Validator HTTP 服务端口。 3. **端点探测**：尝试直接访问 `/loadIG` 端点，看是否返回非 401/403 响应。 4. **日志审计**：检查是否有异常的令牌生成或验证请求。

🛡️ **官方修复**：**已修复**。 📅 **发布时间**：2026-03-31。 🔗 **参考链接**：[GitHub Advisory](https://github.com/hapifhir/org.hl7.fhir.core/security/advisories/GHSA-vr79-8m62-wh98)。 🔧 **解决方案**：升级至 **HAPI FHIR 6.9.4** 或更高版本。

🚧 **临时规避**（若无补丁）： 1. **网络隔离**：在防火墙/WAF 中禁止外部访问 FHIR Validator 服务。 2. **端点禁用**：如果不需要 Validator 功能，在配置中禁用该 HTTP 服务。 3. **身份验证**：强制为 `/loadIG` 端点添加严格的身份验证和授权检查。 4. **URL 过滤**：在网关层拦截可疑的 URL 前缀匹配请求。

⚡ **优先级**：**高**。 📈 **理由**： - CVSS 评分高（远程、无认证、高机密性影响）。 - 涉及医疗数据（FHIR），合规风险极大。 - 利用门槛极低，极易被自动化脚本扫描利用。 🚀 **建议**：立即升级版本或实施网络隔离。