漏洞概述 该漏洞涉及Medplum项目中rest-hook订阅URL的HTTPS要求。默认情况下,rest-hook订阅URL需要使用HTTPS协议,但存在配置选项允许使用HTTP协议,这可能导致安全风险。 影响范围 受影响组件:Medplum项目的rest-hook订阅功能。 影响用户:所有使用Medplum项目并配置了rest-hook订阅的用户。 潜在风险:如果允许使用HTTP协议,可能会导致数据在传输过程中被窃听或篡改。 修复方案 1. 默认启用HTTPS:默认情况下,rest-hook订阅URL必须使用HTTPS协议。 2. 配置选项:提供 配置选项,允许特定情况下使用HTTP协议,但需要明确启用。 3. 代码修改: - 在 文件中添加以下代码: - 确保在配置文件中正确设置 选项。 POC代码 以下是修复后的代码片段: 总结 该漏洞通过默认启用HTTPS并限制HTTP协议的使用,提高了rest-hook订阅URL的安全性。配置选项 提供了灵活性,但需要谨慎使用。