公開日:2020/07/03 最終更新日:2020/07/03

JVNVU#96290700
OpenClinic GA に複数の脆弱性

概要

財務管理、臨床、薬局などのデータ管理を行える病院向け情報管理システムである OpenClinic GA には複数の脆弱性が存在します。

影響を受けるシステム

  • OpenClinic GA Version 5.09.02
  • OpenClinic GA Version 5.89.05b

詳細情報

OpenClinic GA には次の脆弱性が存在します。

  • 別のパスやチャンネルを介した認証回避 (CWE-288) - CVE-2020-14485
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L 基本値: 9.4
  • 過度な認証試行の不適切な制限 (CWE-307) - CVE-2020-14484
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 7.3
  • 不適切な認証 (CWE-287) - CVE-2020-14494
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 7.3
  • 認証の欠如 (CWE-862) - CVE-2020-14491
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L 基本値: 8.3
  • 不要な特権による実行 (CWE-250) - CVE-2020-14493
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8
  • 危険なタイプのファイルの無制限アップロード (CWE-434) - CVE-2020-14488
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8
  • パス・トラバーサル(CWE-22) - CVE-2020-14490
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 8.8
  • 不適切な認可処理 (CWE-285) - CVE-2020-14486
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L 基本値: 6.3
  • クロスサイトスクリプティング(CWE-79) - CVE-2020-14492
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N 基本値: 5.4
  • メンテナンスされていないサードパーティ製品の使用 (CWE-1104) - CVE-2020-14495
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8
  • 認証情報の不十分な保護 (CWE-522) - CVE-2020-14489
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 6.2
  • 隠れた機能 (CWE-912) - CVE-2020-14487
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L 基本値: 9.4
    ※ただし、本脆弱性は Version 5.89.05b には影響しません

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受けるおそれがあります。

  • 遠隔の攻撃者により、クライアント側のアクセス制御をバイパスされたり、細工したリクエストを送信されたりすることによってセッションが開始され、SQLクエリの実行など管理者機能を実行される- CVE-2020-14485
  • 遠隔の攻撃者により、システムのアカウントロック機能がバイパスされ、総当たり攻撃 (ブルートフォースアタック) を実行される - CVE-2020-14484
  • 当該システムでは、総当たり攻撃 (ブルートフォースアタック) の保護機構が十分ではないため、認証を経ていない攻撃者により、最大試行回数以上のアクセスを実行され、システムにアクセスされる- CVE-2020-14494
  • 当該システムは SQL クエリの実行権限の確認を行わないため、権限の低いユーザによって、より上位の権限が必要な情報へアクセスされる - CVE-2020-14491
  • 当該システムでは、比較的低い権限での SQL の実行により任意のファイルを書き込むことが可能なため、結果として、システム上で任意のコマンドが実行される - CVE-2020-14493
  • 当該システムでは、アップロードされたファイルの検証が適切に行われないため、低い権限を取得した攻撃者により、システム上に任意のファイルをアップロードされ、実行される - CVE-2020-14488
  • パラメータで指定された任意のローカルファイルを含むファイルを実行されることにより、機密情報が公開されたり、アップロードされた悪意のあるファイルが実行されたりする - CVE-2020-14490
  • 認証が失敗した時に実行されるリダイレクト処理を回避することができるため、認証を経ていない攻撃者により、コマンドを不正に実行される - CVE-2020-14486
  • ユーザによる入力値を適切に検証していないため、ユーザのブラウザ上で悪意のあるコードが実行される - CVE-2020-14492
  • 当該システムが使用している、サポートが終了したサードパーティ製のソフトウェアに含まれる既知の脆弱性に起因して、遠隔の攻撃者により悪意のあるコードが実行される - CVE-2020-14495
  • パスワードを保存する際のハッシュ処理に不備があり、辞書攻撃によりパスワードを窃取される - CVE-2020-14489
  • 当該システムには、デフォルトで設定されたユーザアカウントがアクセス可能な状態で存在しており、攻撃者によってそのアカウントを利用され、任意のコマンドを実行される - CVE-2020-14487

対策方法

ワークアラウンドを実施する
OpenClinic GA は、脆弱性を認識していますが、確実な解決方法の提供はしていません。最新のバージョンにアップグレードし、CISAや FDA が公開している情報を参考にセキュリティ対策を実施してください。

ベンダ情報

ベンダ リンク
Source Forge OpenClinic GA

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

更新履歴

2020/07/03
[詳細情報][影響を受けるシステム] 誤植の修正