概要
OpenEMRは無料でオープンソースの電子健康記録および医療実務管理アプリケーションです。バージョン8.0.0以前では、`library/auth.inc.php`のセッション有効期限チェックがリクエストに`skip_timeout_reset`が存在しない場合にのみ実行されていました。`skip_timeout_reset=1`が送信されると、`SessionTracker::isSessionExpired()`の呼び出しや、タイムアウト時にログアウトを強制するすべての処理がスキップされます。その結果、このパラメーターを含む任意のリクエスト(例:Patient Flow Boardの自動更新ページなど)は有効期限チェックを実行せず、期限切れセッションが無期限にデータアクセスを続けられます。放置された作業ステーションはアクティブなままとなり、盗まれたセッションCookieを持つ攻撃者は`skip_timeout_reset=1`を送り続けてログアウトを回避できます。バージョン8.0.0でこの問題は修正されました。
技術情報
- 公開日: 2026-03-02T16:15:33+09:00
- 更新日: 2026-03-02T16:15:33+09:00
参考リンク
対処方法
該当ソフトウェアの最新版への更新、または開発元が提供する緩和策の適用を推奨します。運用環境に応じて事前検証の上で実施してください。
免責
本記事は公開情報をもとに自動集約された速報です。正確性・完全性は保証できません。必ず一次情報(上記リンク等)をご確認ください。
