CRITICALCVE-2026-24908CVSS 10

OpenEMR には、患者 API ソートパラメータにおける SQL インジェクションの脆弱性が存在します

Q: CVE-2026-24908 — SQL Injection in OpenEMRとは何ですか？

CVE-2026-24908は、OpenEMRのPatient REST APIエンドポイントにおけるSQLインジェクション脆弱性です。認証済みAPIアクセスユーザーが`_sort`パラメータを通じて任意のSQLクエリを実行できる可能性があります。

Q: CVE-2026-24908 in OpenEMRの影響はありますか？

はい、OpenEMRの8.0.0以前のバージョンを使用している場合、影響を受ける可能性があります。データベースへの不正アクセス、機密情報の漏洩、資格情報の漏洩のリスクがあります。

Q: CVE-2026-24908 in OpenEMRを修正するにはどうすればよいですか？

OpenEMRのバージョンを8.0.0以降にアップグレードしてください。アップグレードが困難な場合は、APIエンドポイントへのアクセスを制限し、入力検証を強化してください。

Q: CVE-2026-24908に関するOpenEMRの公式アドバイザリはどこで入手できますか？

OpenEMRの公式アドバイザリは、OpenEMRのウェブサイトまたはセキュリティニュースレターで確認してください。

プラットフォーム

php

コンポーネント

openemr

修正版

8.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

OpenEMRは、無料のオープンソース電子カルテおよび医療事務管理アプリケーションです。CVE-2026-24908は、Patient REST APIエンドポイントにおけるSQLインジェクション脆弱性であり、認証されたAPIアクセスユーザーが_sortパラメータを介して任意のSQLクエリを実行できる可能性があります。この脆弱性は、ユーザーが提供したソートフィールド名が、適切な検証または識別子エスケープなしにORDER BY句で使用される場合に発生します。バージョン8.0.0でこの問題が修正されました。

影響と攻撃シナリオ

このSQLインジェクション脆弱性を悪用されると、攻撃者はデータベースに不正にアクセスし、機密情報を盗み出す可能性があります。具体的には、患者の医療記録（PHI）、ユーザー名、パスワードなどの情報が漏洩するリスクがあります。さらに、攻撃者はデータベースの構造を操作したり、データを改ざんしたり、システムを停止させたりする可能性があります。この脆弱性は、OpenEMRのAPIアクセス権を持つ認証済みユーザーが攻撃の対象となるため、広範囲に影響を及ぼす可能性があります。類似のSQLインジェクション攻撃は、他の医療システムでも確認されており、機密情報の漏洩やシステムへの不正アクセスにつながる可能性があります。

悪用の状況

この脆弱性は、2026年2月25日に公開されました。現時点では、公開されているPoCは確認されていませんが、SQLインジェクションの脆弱性であるため、悪用される可能性は高いと考えられます。CISA KEVカタログへの登録状況は不明です。攻撃者は、OpenEMRのAPIエンドポイントに不正なSQLクエリを送信することで、この脆弱性を悪用する可能性があります。

リスク対象者翻訳中…

Healthcare providers and organizations utilizing OpenEMR, particularly those relying on the Patient REST API for data access and integration, are at significant risk. Shared hosting environments where multiple OpenEMR instances reside on the same server are also vulnerable, as a compromise of one instance could potentially impact others.

検出手順翻訳中…

• linux / server:

journalctl -u openemr | grep -i "SQL injection"

• generic web:

curl -I 'https://<openemr_host>/api/patient?_sort='; # Check for unusual response headers or errors

• database (mysql):

mysql -u <openemr_user> -p -e "SHOW TABLES LIKE 'patient%';"

攻撃タイムライン

2026-02-25Disclosure
disclosure
2026-02-25Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.00% (0% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントopenemr

ベンダーopenemr

影響範囲修正版

< 8.0.0 – < 8.0.08.0.1

弱点分類 (CWE)

CWE-89

タイムライン

予約済み2026-01-27
公開日2026-02-25
更新日2026-02-26
EPSS 更新日2026-03-23

緩和策と回避策

OpenEMRのバージョンを8.0.0以降にアップグレードすることが最も効果的な対策です。アップグレードが困難な場合は、APIエンドポイントへのアクセスを制限し、入力検証を強化することでリスクを軽減できます。WAF（Web Application Firewall）を導入し、SQLインジェクション攻撃を検知・防御するルールを設定することも有効です。また、データベースのアクセス制御を強化し、不要な権限を削除することも重要です。アップグレード後、APIエンドポイントに対してSQLインジェクション攻撃を試みることで、修正が正しく適用されていることを確認してください。

修正方法

OpenEMR をバージョン 8.0.0 以降にアップデートしてください。このバージョンは、患者 API における SQL インジェクションの脆弱性を修正しています。アップデートにより、任意の SQL クエリの実行と機密情報の潜在的な暴露を防ぐことができます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-24908 — SQL Injection in OpenEMRとは何ですか？

CVE-2026-24908は、OpenEMRのPatient REST APIエンドポイントにおけるSQLインジェクション脆弱性です。認証済みAPIアクセスユーザーが_sortパラメータを通じて任意のSQLクエリを実行できる可能性があります。

CVE-2026-24908 in OpenEMRの影響はありますか？