病院向け情報管理システム OpenClinic GA に複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は6月16日、OpenClinic GA に複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

OpenClinic GA Version 5.09.02
OpenClinic GA Version 5.89.05b

　JVNによると、財務管理、臨床、薬局などのデータ管理を行う病院向け情報管理システムである OpenClinic GA には以下の複数の脆弱性が存在する。

・別のパスやチャンネルを介した認証回避（CVE-2020-14485）
・過度な認証試行の不適切な制限（CVE-2020-14484）
・不適切な認証（CVE-2020-14494）
・認証の欠如（CVE-2020-14491）
・不要な特権による実行（CVE-2020-14493）
・危険なタイプのファイルの無制限アップロード（CVE-2020-14488）
・パス・トラバーサル（CVE-2020-14490）
・不適切な認可処理（CVE-2020-14486）
・クロスサイトスクリプティング（CVE-2020-14492）
・メンテナンスされていないサードパーティ製品の使用（CVE-2014-0114、CVE-2016-1181、CVE-2016-118に起因）
・認証情報の不十分な保護（CVE-2020-14489）
・隠れた機能（CVE-2020-14487）

　想定される影響としては各脆弱性により異なるが、次のような影響を受ける可能性がある。

・遠隔の攻撃者により、クライアント側のアクセス制御をバイパスされたり、細工したリクエストを送信されたりすることによってセッションが開始され、SQLクエリの実行など管理者機能を実行される（CVE-2020-14485）
・遠隔の攻撃者により、システムのアカウントロック機能がバイパスされ、総当たり攻撃（ブルートフォースアタック）を実行される（CVE-2020-14484）
・当該システムでは、総当たり攻撃（ブルートフォースアタック）の保護機構が十分ではないため、認証を経ていない攻撃者により、最大試行回数以上のアクセスを実行され、システムにアクセスされる（CVE-2020-14494）
・当該システムは SQL クエリの実行権限の確認を行わないため、権限の低いユーザによって、より上位の権限が必要な情報へアクセスされる（CVE-2020-14491）
・当該システムでは、比較的低い権限での SQL の実行により任意のファイルを書き込むことが可能なため、結果として、システム上で任意のコマンドが実行される（CVE-2020-14493）
・当該システムでは、アップロードされたファイルの検証が適切に行われないため、低い権限を取得した攻撃者により、システム上に任意のファイルをアップロードされ、実行される（CVE-2020-14488）
・パラメータで指定された任意のローカルファイルを含むファイルを実行されることにより、機密情報が公開されたり、アップロードされた悪意のあるファイルが実行されたりする（CVE-2020-14490）
・認証が失敗した時に実行されるリダイレクト処理を回避することができるため、認証を経ていない攻撃者により、コマンドを不正に実行される（CVE-2020-14486）
・ユーザによる入力値を適切に検証していないため、ユーザのブラウザ上で悪意のあるコードが実行される（CVE-2020-14492）
・当該システムが使用している、サポートが終了したサードパーティ製のソフトウェアに含まれる既知の脆弱性（CVE-2014-0114、CVE-2016-1181、CVE-2016-1182）に起因して、遠隔の攻撃者により悪意のあるコードが実行される
・パスワードを保存する際のハッシュ処理に不備があり、辞書攻撃によりパスワードを窃取される（CVE-2020-14489）
・当該システムには、デフォルトで設定されたユーザアカウントがアクセス可能な状態で存在しており、攻撃者によってそのアカウントを利用され、任意のコマンドを実行される（CVE-2020-14487）

　開発者は Version 5.170.5 以降のバージョンにアップデートすることを推奨している。