病院向け情報管理システム OpenClinic GA に複数の脆弱性 | ScanNetSecurity
2026.01.12(月)

病院向け情報管理システム OpenClinic GA に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月16日、OpenClinic GA に複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性
37 views
facebookLINE
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月16日、OpenClinic GA に複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

OpenClinic GA Version 5.09.02
OpenClinic GA Version 5.89.05b

 JVNによると、財務管理、臨床、薬局などのデータ管理を行う病院向け情報管理システムである OpenClinic GA には以下の複数の脆弱性が存在する。

・別のパスやチャンネルを介した認証回避(CVE-2020-14485)
・過度な認証試行の不適切な制限(CVE-2020-14484)
・不適切な認証(CVE-2020-14494)
・認証の欠如(CVE-2020-14491)
・不要な特権による実行(CVE-2020-14493)
・危険なタイプのファイルの無制限アップロード(CVE-2020-14488)
・パス・トラバーサル(CVE-2020-14490)
・不適切な認可処理(CVE-2020-14486)
・クロスサイトスクリプティング(CVE-2020-14492)
・メンテナンスされていないサードパーティ製品の使用(CVE-2014-0114、CVE-2016-1181、CVE-2016-118に起因)
・認証情報の不十分な保護(CVE-2020-14489)
・隠れた機能(CVE-2020-14487)

 想定される影響としては各脆弱性により異なるが、次のような影響を受ける可能性がある。

・遠隔の攻撃者により、クライアント側のアクセス制御をバイパスされたり、細工したリクエストを送信されたりすることによってセッションが開始され、SQLクエリの実行など管理者機能を実行される(CVE-2020-14485)
・遠隔の攻撃者により、システムのアカウントロック機能がバイパスされ、総当たり攻撃(ブルートフォースアタック)を実行される(CVE-2020-14484)
・当該システムでは、総当たり攻撃(ブルートフォースアタック)の保護機構が十分ではないため、認証を経ていない攻撃者により、最大試行回数以上のアクセスを実行され、システムにアクセスされる(CVE-2020-14494)
・当該システムは SQL クエリの実行権限の確認を行わないため、権限の低いユーザによって、より上位の権限が必要な情報へアクセスされる(CVE-2020-14491)
・当該システムでは、比較的低い権限での SQL の実行により任意のファイルを書き込むことが可能なため、結果として、システム上で任意のコマンドが実行される(CVE-2020-14493)
・当該システムでは、アップロードされたファイルの検証が適切に行われないため、低い権限を取得した攻撃者により、システム上に任意のファイルをアップロードされ、実行される(CVE-2020-14488)
・パラメータで指定された任意のローカルファイルを含むファイルを実行されることにより、機密情報が公開されたり、アップロードされた悪意のあるファイルが実行されたりする(CVE-2020-14490)
・認証が失敗した時に実行されるリダイレクト処理を回避することができるため、認証を経ていない攻撃者により、コマンドを不正に実行される(CVE-2020-14486)
・ユーザによる入力値を適切に検証していないため、ユーザのブラウザ上で悪意のあるコードが実行される(CVE-2020-14492)
・当該システムが使用している、サポートが終了したサードパーティ製のソフトウェアに含まれる既知の脆弱性(CVE-2014-0114、CVE-2016-1181、CVE-2016-1182)に起因して、遠隔の攻撃者により悪意のあるコードが実行される
・パスワードを保存する際のハッシュ処理に不備があり、辞書攻撃によりパスワードを窃取される(CVE-2020-14489)
・当該システムには、デフォルトで設定されたユーザアカウントがアクセス可能な状態で存在しており、攻撃者によってそのアカウントを利用され、任意のコマンドを実行される(CVE-2020-14487)

 開発者は Version 5.170.5 以降のバージョンにアップデートすることを推奨している。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 「攻撃者の高い執念が感じられ」る 日本語版 EmEditor Web サイトのリンク改変

    「攻撃者の高い執念が感じられ」る 日本語版 EmEditor Web サイトのリンク改変

  2. EmEditor「公式サイトからダウンロードしたお客様が被害に遭われた点に重い責任を感じて」いる

    EmEditor「公式サイトからダウンロードしたお客様が被害に遭われた点に重い責任を感じて」いる

  3. 複数名でマスキング処理を確認したが時間経過でインクが薄れて個人情報判読可能

    複数名でマスキング処理を確認したが時間経過でインクが薄れて個人情報判読可能

  4. 日産自動車の業務委託先に不正アクセス、約 21,000 人の顧客情報流出の可能性

    日産自動車の業務委託先に不正アクセス、約 21,000 人の顧客情報流出の可能性

  5. [Internet Week 2016] 厳選セキュリティセッション 第3回 「実践インシデント対応 ~事故から学ぶ~ 」 日本シーサート協議会 庄司 朋隆 氏

    [Internet Week 2016] 厳選セキュリティセッション 第3回 「実践インシデント対応 ~事故から学ぶ~ 」 日本シーサート協議会 庄司 朋隆 氏

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP