| Title | OpenMRSにおけるパストラバーサルの脆弱性 |
|---|---|
| Summary | OpenMRS Coreはオープンソースの電子医療記録システムプラットフォームです。バージョン2.7.8以前およびバージョン2.8.0から2.8.5までの間において、POST `/openmrs/ws/rest/v1/module` のモジュールアップロードエンドポイントにZip Slipパストラバーサル攻撃の脆弱性があります。`WebModuleUtil.startModule()` 内のアップロードされた .omod アーカイブの自動展開時に、web/module/ 以下のZIPエントリについて、完全なエントリパスが `..` で始まるかどうかのみがチェックされ、その後のパスは正規化や境界チェックなしに宛先パスに連結されます。これにより、`web/module/../../../../malicious.jsp` のような不正に作成されたアーカイブのエントリを含めることが可能で、意図されたモジュールディレクトリ外にファイルを書き込めます。モジュールアップロード権限を持つ認証済み攻撃者は、ウェブアプリケーションのルートなどの任意の場所にファイルを書き込み、JSPファイルをアップロードしてリクエストすることでリモートコード実行を達成できます。この問題は、モジュール管理のruntimeプロパティであるmodule.allow_web_adminがレガシーUIコントローラでは適用されている一方でREST APIのアップロード経路では適用されていません。そのため、Webベースのモジュール管理をブロックするためにこのプロパティに依存している環境は、RESTエンドポイントを通じて依然として攻撃にさらされています。この問題は2.7.x系の2.7.8を超えるバージョンおよび2.8.6以降のバージョンで修正されています。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 6, 2026, midnight |
| Registration Date | May 12, 2026, 10:20 a.m. |
| Last Update | May 12, 2026, 10:20 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| OpenMRS |
| OpenMRS 2.7.8 およびそれ以前 |
| OpenMRS 2.8.0 から 2.8.5 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月12日] 掲載 |
May 12, 2026, 10:20 a.m. |
| Summary | OpenMRS Core is an open source electronic medical record system platform. In versions 2.7.8 and earlier and versions 2.8.0 through 2.8.5, the module upload endpoint at POST `/openmrs/ws/rest/v1/module` is vulnerable to a Zip Slip path traversal attack. During automatic extraction of uploaded .omod archives in `WebModuleUtil.startModule()`, ZIP entries under web/module/ are checked only to see whether the full entry path starts with `..,` and the remaining path is then concatenated into the destination path without normalization or a boundary check. A crafted archive can therefore include entries such as `web/module/../../../../malicious.jsp` and cause files to be written outside the intended module directory. An authenticated attacker with module upload access can write arbitrary files to locations such as the web application root and achieve remote code execution by uploading a JSP file and then requesting it. The issue is compounded by the fact that the module.allow_web_admin runtime property is enforced in the legacy UI controller but not in the REST API upload path, so deployments relying on that property to block web-based module administration remain exposed through the REST endpoint. This issue has been fixed in versions after 2.7.8 in the 2.7.x line and in version 2.8.6 and later. |
|---|---|
| Publication Date | May 7, 2026, 5:16 a.m. |
| Registration Date | May 8, 2026, 4:08 a.m. |
| Last Update | May 11, 2026, 11:55 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:openmrs:openmrs:*:*:*:*:*:*:*:* | 2.7.8 | ||||
| cpe:2.3:a:openmrs:openmrs:*:*:*:*:*:*:*:* | 2.8.0 | 2.8.5 | |||