【活用ガイド】

JVNDB-2014-005822

OpenEMR における SQL インジェクションの脆弱性

概要

OpenEMR には、SQL インジェクションの脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 6.5 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 単一
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


OpenEMR
  • OpenEMR 4.1.2 (Patch 7) およびそれ以前

想定される影響

リモート認証されたユーザにより、以下のパラメータを介して、任意の SQL コマンドを実行される可能性があります。

(1) interface/super/edit_layout.php の layout_id パラメータ
(2) interface/reports/prescriptions_report.php の form_patient_id パラメータ
(3) interface/reports/prescriptions_report.php の form_drug_name パラメータ
(4) interface/reports/prescriptions_report.php の form_lot_number パラメータ
(5) interface/billing/edit_payment.php の payment_id パラメータ
(6) interface/forms_admin/forms_admin.php の id パラメータ
(7) interface/billing/sl_eob_search.php の form_pid パラメータ
(8) interface/billing/sl_eob_search.php の form_encounter パラメータ
(9) interface/logview/logview.php の sortby パラメータ
(10) interface/orders/procedure_stats.php の form_facility パラメータ
(11) interface/orders/pending_followup.php の form_facility パラメータ
(12) interface/orders/pending_orders.php の form_facility パラメータ
(13) interface/patient_file/deleter.php の patient パラメータ
(14) interface/patient_file/deleter.php の encounterid パラメータ
(15) interface/patient_file/deleter.php の formid パラメータ
(16) interface/patient_file/deleter.php の issue パラメータ
(17) interface/patient_file/encounter/coding_popup.php の search_term パラメータ
(18) interface/patient_file/encounter/search_code.php の text パラメータ
(19) interface/practice/ins_search.php の form_addr1 パラメータ
(20) interface/practice/ins_search.php の form_addr2 パラメータ
(21) interface/practice/ins_search.php の form_attn パラメータ
(22) interface/practice/ins_search.php の form_country パラメータ
(23) interface/practice/ins_search.php の form_freeb_type パラメータ
(24) interface/practice/ins_search.php の form_partner パラメータ
(25) interface/practice/ins_search.php の form_name パラメータ
(26) interface/practice/ins_search.php の form_zip パラメータ
(27) interface/practice/ins_search.php の form_state パラメータ
(28) interface/practice/ins_search.php の form_city パラメータ
(29) interface/practice/ins_search.php の form_cms_id パラメータ
(30) interface/patient_file/problem_encounter.php の form_pid パラメータ
(31) interface/reports/appointments_report.php の patient パラメータ
(32) interface/reports/appointments_report.php の form_provider パラメータ
(33) interface/reports/appointments_report.php の form_apptstatus パラメータ
(34) interface/reports/appointments_report.php の form_facility パラメータ
(35) interface/patient_file/summary/demographics_save.php の db_id パラメータ
(36) interface/fax/fax_dispatch_newpid.php の p パラメータ
(37) interface/patient_file/reminder/patient_reminders.php の patient_id パラメータ
対策

ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報

OpenEMR
CWEによる脆弱性タイプ一覧  CWEとは?

  1. SQLインジェクション(CWE-89) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2014-5462
参考情報

  1. National Vulnerability Database (NVD) : CVE-2014-5462
  2. 関連文書 : Vulnerability title: Multiple Authenticated SQL Injections In OpenEMR
更新履歴

  • [2014年12月10日]
      掲載