概要
電子カルテおよび医療業務管理アプリケーションであるOpenEMRのバージョン8.0.0未満に、情報漏えいの脆弱性(CVE-2026-25135)が報告されました。この脆弱性は、特定の操作権限を持つクライアントが、システムに登録されている全ユーザー、組織、患者の連絡先情報を取得してしまう可能性があるというものです。
影響範囲
- 対象製品: OpenEMR
- 対象バージョン: バージョン8.0.0より前のすべてのバージョン(2023年以降のバージョンに影響があるとされています)
想定される影響
この脆弱性が悪用された場合、システムに登録されているすべてのユーザー、組織、患者の連絡先情報(氏名、住所、電話番号、メールアドレスなど)が漏えいする可能性があります。医療機関において機密性の高い患者情報が含まれるため、重大なプライバシー侵害につながる恐れがあります。
攻撃成立条件・悪用状況
この脆弱性の悪用には、以下の複数の条件が満たされる必要があると報告されています。
- 攻撃者は、
system/(Group,Patient,*).$exportおよびsystem/Location.readの両方の操作権限を持っている必要があるとされています。 - この脆弱性は、管理者によって有効化され、権限が付与された機密クライアント(confidential client)を使用する場合にのみ発生すると報告されています。
- 報告によると、この事象は「極めて信頼性の高い環境」、具体的には、法的な合意が確立されている信頼されたクライアント間でのサーバー間通信においてのみ発生する可能性が高いとされています。
現時点では、この脆弱性が実際に悪用されたという具体的な報告は確認されていません。
推奨対策
今すぐできる対策
- バージョンアップ: OpenEMRをバージョン8.0.0にアップデートしてください。このバージョンには脆弱性を修正するパッチが含まれています。
中長期的な対策
- 権限の見直し: システム内のクライアントが持つ権限を定期的に見直し、必要最小限の権限のみを付与する「最小権限の原則」を徹底してください。特に、
system/(Group,Patient,*).$exportおよびsystem/Location.readの権限が付与されているクライアントがないか確認することが重要です。
一時的な緩和策
バージョンアップがすぐに実施できない場合、以下の緩和策を検討してください。
- 脆弱なスコープを持つクライアント、特に
system/Location.readスコープを持つクライアントを無効化してください。修正が適用されるまで、これらのクライアントからのアクセスを制限することが推奨されます。
確認方法
本脆弱性の存在を直接確認するための具体的な手順は、公開情報からは明確ではありません。OpenEMRのバージョンが8.0.0未満である場合は、脆弱性の影響を受ける可能性があります。
参考情報
- CVE-2026-25135 詳細: https://cvefeed.io/vuln/detail/CVE-2026-25135