JVNDB-2014-005822
|
OpenEMR における SQL インジェクションの脆弱性
|
OpenEMR には、SQL インジェクションの脆弱性が存在します。
|
CVSS v2 による深刻度 基本値: 6.5 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
OpenEMR
- OpenEMR 4.1.2 (Patch 7) およびそれ以前
|
|
リモート認証されたユーザにより、以下のパラメータを介して、任意の SQL コマンドを実行される可能性があります。
(1) interface/super/edit_layout.php の layout_id パラメータ
(2) interface/reports/prescriptions_report.php の form_patient_id パラメータ
(3) interface/reports/prescriptions_report.php の form_drug_name パラメータ
(4) interface/reports/prescriptions_report.php の form_lot_number パラメータ
(5) interface/billing/edit_payment.php の payment_id パラメータ
(6) interface/forms_admin/forms_admin.php の id パラメータ
(7) interface/billing/sl_eob_search.php の form_pid パラメータ
(8) interface/billing/sl_eob_search.php の form_encounter パラメータ
(9) interface/logview/logview.php の sortby パラメータ
(10) interface/orders/procedure_stats.php の form_facility パラメータ
(11) interface/orders/pending_followup.php の form_facility パラメータ
(12) interface/orders/pending_orders.php の form_facility パラメータ
(13) interface/patient_file/deleter.php の patient パラメータ
(14) interface/patient_file/deleter.php の encounterid パラメータ
(15) interface/patient_file/deleter.php の formid パラメータ
(16) interface/patient_file/deleter.php の issue パラメータ
(17) interface/patient_file/encounter/coding_popup.php の search_term パラメータ
(18) interface/patient_file/encounter/search_code.php の text パラメータ
(19) interface/practice/ins_search.php の form_addr1 パラメータ
(20) interface/practice/ins_search.php の form_addr2 パラメータ
(21) interface/practice/ins_search.php の form_attn パラメータ
(22) interface/practice/ins_search.php の form_country パラメータ
(23) interface/practice/ins_search.php の form_freeb_type パラメータ
(24) interface/practice/ins_search.php の form_partner パラメータ
(25) interface/practice/ins_search.php の form_name パラメータ
(26) interface/practice/ins_search.php の form_zip パラメータ
(27) interface/practice/ins_search.php の form_state パラメータ
(28) interface/practice/ins_search.php の form_city パラメータ
(29) interface/practice/ins_search.php の form_cms_id パラメータ
(30) interface/patient_file/problem_encounter.php の form_pid パラメータ
(31) interface/reports/appointments_report.php の patient パラメータ
(32) interface/reports/appointments_report.php の form_provider パラメータ
(33) interface/reports/appointments_report.php の form_apptstatus パラメータ
(34) interface/reports/appointments_report.php の form_facility パラメータ
(35) interface/patient_file/summary/demographics_save.php の db_id パラメータ
(36) interface/fax/fax_dispatch_newpid.php の p パラメータ
(37) interface/patient_file/reminder/patient_reminders.php の patient_id パラメータ
|
ベンダ情報および参考情報を参照して適切な対策を実施してください。
|
OpenEMR
|
- SQLインジェクション(CWE-89) [NVD評価]
|
- CVE-2014-5462
|
- National Vulnerability Database (NVD) : CVE-2014-5462
- 関連文書 : Vulnerability title: Multiple Authenticated SQL Injections In OpenEMR
|
|