セキュリティ

SECURITY

公開：2024-11-22

【CVE-2024-0875】OpenEMR 7.0.1でStored XSS脆弱性が発見、医療情報システムのセキュリティに警鐘

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• OpenEMR 7.0.1でセキュアメッセージングの脆弱性を確認
• stored XSS攻撃によってユーザーアカウントが危険に
• OpenEMR 7.0.2.1で脆弱性が修正完了

OpenEMR 7.0.1のXSS脆弱性問題

OpenEMRのバージョン7.0.1において、セキュアメッセージング機能の「inputBody」フィールドに深刻な stored XSS脆弱性が発見され、2024年11月15日に公開された【CVE-2024-0875】として識別された。この脆弱性は攻撃者が悪意のあるペイロードを注入することで他のユーザーのアカウントを危険にさらす可能性があり、CVSSスコアは8.1と高い深刻度を示している。^[1]

この脆弱性は認証済みユーザーが攻撃可能な状態であり、技術的な影響としては機密性と整合性に高いリスクがあることが判明した。攻撃の自動化は現時点では確認されていないものの、部分的な技術的影響が想定されており、早急な対応が必要とされている。

OpenEMRの開発チームは既にこの問題に対処しており、バージョン7.0.2.1でセキュリティパッチを適用している。CISAによる評価では、この脆弱性は自動化された攻撃には至っていないものの、部分的な技術的影響があるとされ、システム管理者には速やかなアップデートが推奨されている。

OpenEMR 7.0.1の脆弱性詳細

Stored XSSについて

Stored XSSとは、Webアプリケーションの脆弱性の一種で、悪意のあるスクリプトがサーバーに保存され、後に他のユーザーがそのページを閲覧した際に実行される攻撃手法を指す。主な特徴として以下のような点が挙げられる。

• 悪意のあるスクリプトがサーバーに永続的に保存される
• 複数のユーザーに影響を及ぼす可能性がある
• セッションハイジャックやデータ漏洩のリスクがある

OpenEMRの脆弱性では、セキュアメッセージング機能の「inputBody」フィールドにスクリプトを注入することで、メッセージを受信したユーザーのブラウザ上で悪意のあるコードが実行される可能性がある。この攻撃は認証済みユーザーによって実行可能であり、被害者のアカウント情報が危険にさらされる深刻な脆弱性となっている。

OpenEMR 7.0.1の脆弱性に関する考察

医療情報システムにおけるセキュリティ脆弱性は、患者の個人情報や医療記録の漏洩につながる可能性があり、極めて深刻な問題となっている。OpenEMRのセキュアメッセージング機能における脆弱性は、医療従事者間のコミュニケーションを危険にさらす可能性があり、医療機関の信頼性に大きな影響を与える可能性がある。

今後は入力値のサニタイズ処理やコンテンツセキュリティポリシーの強化など、より包括的なセキュリティ対策の実装が必要となるだろう。特に医療システムにおいては、定期的なセキュリティ監査やペネトレーションテストの実施が重要となり、脆弱性の早期発見と迅速な対応が求められている。

医療情報システムのセキュリティ強化には、開発者とセキュリティ専門家の継続的な協力が不可欠となっている。特にオープンソースプロジェクトであるOpenEMRでは、コミュニティによる脆弱性の報告や修正が重要な役割を果たすと考えられ、今後もセキュリティ面での改善が期待される。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-0875, (参照 24-11-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧