概要
CVE-2026-25131は、オープンソースの電子カルテおよび医療業務管理アプリケーションであるOpenEMRに存在するアクセス制御の不備に関する脆弱性です。この脆弱性は、OpenEMRのオーダータイプ管理システム(具体的には/openemr/interface/orders/types_edit.phpエンドポイント)に存在し、バージョン8.0.0より前のOpenEMRに影響を与えます。この脆弱性が悪用された場合、受付担当者などの低権限ユーザーが、本来は許可されていない手続きタイプをシステムに追加したり、既存の手続きタイプを変更したりする可能性があると報告されています。
この脆弱性のCVSSv3スコアは8.8と評価されており、深刻度は「高」に分類されます。
影響範囲
本脆弱性の影響を受けるのは、OpenEMRのバージョン8.0.0より前のすべてのバージョンです。
想定される影響
この脆弱性が悪用された場合、以下のような影響が想定されます。
- 低権限ユーザーが、医療行為に関する手続きタイプを不正に追加または変更する可能性があります。
- これにより、医療業務のプロセスに混乱が生じたり、誤った情報がシステムに記録されたりするリスクがあります。
- 結果として、データ整合性の問題や、医療提供における潜在的なリスクにつながる可能性が考えられます。
攻撃成立条件・悪用状況
攻撃が成立するためには、攻撃者がOpenEMRシステムに低権限ユーザーとしてログインできる必要があります。現時点では、この脆弱性の具体的な悪用事例は報告されていません。
推奨対策
今すぐできる対策
- OpenEMRのアップデート: 最も効果的な対策は、OpenEMRを脆弱性が修正されたバージョン8.0.0以降に速やかにアップデートすることです。
中長期的な対策
- アクセス権限の見直し: システムへのアクセス権限を定期的に見直し、各ユーザーに必要最小限の権限のみを付与する「最小権限の原則」を徹底してください。
- システムログの監視: OpenEMRの操作ログを定期的に監視し、不審な操作や権限外のアクセスがないか確認する体制を構築してください。
一時的な緩和策
本脆弱性に対する一時的な緩和策は、OpenEMRのアップデートが最も直接的かつ推奨される対策であるため、特筆すべきものはありません。アップデートが困難な場合は、低権限ユーザーの操作に対する監視を強化するなどの運用での対応が考えられます。
確認方法
現在ご利用中のOpenEMRのバージョンを確認してください。バージョンが8.0.0未満である場合、本脆弱性の影響を受ける可能性があります。
参考情報
- CVE-2026-25131の詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-25131