AIがOpenEMRに38件の脆弱性を発見——最大規模のオープンソース電子カルテ

· open-source · Source ↗

要約

  • AISLEのAIアナライザーが2026年Q1にOpenEMRで38件のCVEを発見。CVSS 10.0のSQL injectionを3件含み、対象コードベースは2億人の患者データを管理。

ポイント

  • OpenEMRは34言語対応で100,000以上の医療機関が利用。ONCが定めるPrivacy & Securityの全13基準の認証を取得している。
  • 1四半期で38件のCVEは、2018年に専門チームが実施した人手による監査の23件を上回り、同期間のOpenEMR GitHubセキュリティアドバイザリの半数以上を占める。
  • CVSS 10.0の2件はいずれもSQL injection。Patient REST APIの_sortパラメータと、ImmunizationモジュールのWeb UIで発見され、どちらもDBの完全ダンプおよびRCEにつながる可能性がある。
  • 3件目の重大な欠陥CVE-2026-24487はアーキテクチャ上の問題で、FhirCareTeamServiceがpatient-scopingインターフェースを実装していなかったため、患者スコープのOAuth2トークンがシステム全患者のデータを返す状態だった。
  • 修正は最初の開示から4週間以内にOpenEMR 8.0.0でリリース済み。AISLE PROはコードレビュー段階に組み込まれ、merge前に新たな脆弱性を検出できるようになっている。

Hacker News コメントまとめ

  • 38件すべてがSQLi・XSS・IDOR・パストラバーサルという既知の4カテゴリに分類できるという点でコメント欄の見解は一致。「時間的プレッシャー下で人間のレビュアーが見逃しやすいlow-hanging fruitをAIスキャナーが効率的に洗い出せる証拠」という評価が多い。
  • AISLEへの懐疑的な声もある。過去のブログ投稿がMythosに便乗した誤解を招く内容だったと指摘するコメントもあり、実際の検出手法の詳細開示を求める声が上がっている。
  • スレッド全体を通じて実務上の懸念も共有されている。OpenEMRの多くの導入環境は古いバージョンのままパッチ未適用であり、上流の修正速度にかかわらず、大多数の医療機関で開示済みCVEが本番環境に残り続けているという問題だ。

注目コメント

  • @simonw: 発見された脆弱性がすべて既知のクラスに該当することを指摘し、「優秀な開発チームが揃っていてもAIセキュリティスキャナーの価値を示す好例」と評価。
  • @mbesto: 実環境でのリスクギャップを指摘。OpenEMRを運用している多くの医療機関は古いバージョンを使用しており、これらのCVEはすでに公開されているがパッチ未適用の状態にある。
  • @jjwiseman: AISLEの信頼性に疑問を呈し、過去にMythosと比較した誤解を招くブログ投稿を例に挙げ、手法の詳細開示を求めた。

原文 | HNで議論

英語版: AI uncovers 38 vulnerabilities in largest open source medical record software · Original source

あわせて読みたい