概要
OpenEMRのedih_main.phpエンドポイントにおいて、アクセス制御の不備(Broken Access Control)が報告されています。この脆弱性により、GETリクエストのlog_selectパラメータを操作することで、認証済みのユーザー(受付担当者などの低権限ユーザーを含む)がEDIログファイルにアクセスできる可能性があります。バックエンドでロールベースアクセス制御(RBAC)が適切に適用されていないため、GUIで設定された権限範囲外の機密性の高いシステムログが閲覧される可能性があるとされています。
影響範囲
OpenEMRのバージョン8.0.0より前のすべてのバージョンが本脆弱性の影響を受けます。
想定される影響
- 機密性の高いEDIログファイルが、本来アクセス権限を持たないユーザーによって閲覧される可能性があります。
- ログファイルには、システム運用に関する情報や、場合によっては個人情報が含まれる可能性も考えられます。
- 内部犯行や、認証情報を窃取された攻撃者による情報漏洩のリスクが高まる可能性があります。
攻撃成立条件・悪用状況
- 攻撃には、OpenEMRへの認証済みアカウントが必要です。低権限のアカウントでも攻撃が可能です。
- GETリクエストのパラメータ操作という比較的単純な手法で悪用される可能性があります。
- 現在のところ、この脆弱性の具体的な悪用状況については報告されていません。
推奨対策
今すぐできる対策(優先度:高)
- OpenEMRを直ちにバージョン8.0.0以降にアップデートしてください。このバージョンで本脆弱性は修正されています。
中長期的な対策
- システムログのアクセス権限について、定期的な見直しと監査を実施してください。
- ユーザーアカウントの権限は、必要最小限の原則(Principle of Least Privilege)に基づいて厳格に管理してください。
一時的な緩和策
現時点では、根本的な修正はバージョンアップのみとされています。緊急にバージョンアップが困難な場合は、OpenEMRへのアクセス元を制限する(例:VPN経由のみにする、特定のIPアドレスからのみ許可する)などのネットワークレベルでの対策を検討してください。ただし、これは根本的な解決にはなりません。
確認方法
- 現在利用しているOpenEMRのバージョンを確認してください。バージョン8.0.0未満であれば、本脆弱性の影響を受ける可能性があります。
- システムログへのアクセス権限が、GUI上の設定だけでなく、バックエンドで適切に制御されているかを確認することは、本脆弱性の性質上、困難な場合があります。バージョンアップが最も確実な確認方法です。
参考情報
- CVE-2026-24896 詳細: https://cvefeed.io/vuln/detail/CVE-2026-24896