目次
記事の要約
- 浙江湖州华卓信息科技有限公司のInternet Doctor Workstation System 1.0に脆弱性が発見された
- CVE-2025-3981として公開され、不正な権限付与につながる脆弱性である
- リモートから攻撃が可能で、ベンダーは対応していない
Wowjoy Internet Doctor Workstation System 1.0の脆弱性情報公開
VulDBは2025年4月27日、浙江湖州华卓信息科技有限公司のInternet Doctor Workstation System 1.0における脆弱性情報を公開した。この脆弱性は、ファイルパス「/v1/prescription/details/」の処理に問題があり、不正な権限付与を許してしまうものである。
攻撃はリモートから実行可能であり、既に公開されているため悪用される可能性がある。VulDBは早期にベンダーである浙江湖州华卓信息科技有限公司にこの脆弱性情報を伝えたが、いかなる対応もなかったと報告している。この脆弱性は、深刻なセキュリティリスクとなる可能性があるのだ。
CVE-2025-3981として登録されているこの脆弱性は、CWE-285(不正な権限付与)とCWE-266(不適切な権限割り当て)に分類される。CVSSスコアはバージョンによって異なり、4.0では5.3(MEDIUM)、3.1と3.0では4.3(MEDIUM)と評価されている。
脆弱性詳細
| 項目 | 詳細 |
|---|---|
| CVE ID | CVE-2025-3981 |
| 公開日 | 2025-04-27 |
| 更新日 | 2025-04-27 |
| ベンダー | wowjoy 浙江湖州华卓信息科技有限公司 |
| 製品名 | Internet Doctor Workstation System |
| 影響を受けるバージョン | 1.0 |
| 脆弱性の種類 | 不正な権限付与 |
| CVSSスコア(v4.0) | 5.3 (MEDIUM) |
| CVSSスコア(v3.1/3.0) | 4.3 (MEDIUM) |
| 攻撃ベクトル | ネットワーク |
| 攻撃複雑性 | 低 |
| 認証 | 低 |
| 影響 | 機密情報の漏洩 |
CWEとCVSSについて
この脆弱性は、CWE-285(不正な権限付与)とCWE-266(不適切な権限割り当て)に分類される。CWEとは、Common Weakness Enumerationの略で、テクノロジーの脆弱性の共通の弱点のリストである。
- CWE-285: 不正な権限付与とは、システムやアプリケーションが、ユーザーやプロセスに適切な権限を与えていない状態を指す
- CWE-266: 不適切な権限割り当てとは、ユーザーやプロセスに過剰な権限を与えてしまう状態を指す
- CVSSは、Common Vulnerability Scoring Systemの略で、脆弱性の深刻度を数値で表す指標である
これらの指標を用いることで、脆弱性のリスクを客観的に評価することが可能になるのだ。
CVE-2025-3981に関する考察
この脆弱性は、医療情報を取り扱うシステムにおける深刻なセキュリティリスクとなる可能性がある。不正なアクセスにより、患者の個人情報や医療情報が漏洩する危険性があるため、迅速な対応が求められる。
ベンダーが対応していない現状では、ユーザー自身による対策が必要となるだろう。システムのアップデートや、アクセス制御の強化、多要素認証の導入などを検討する必要がある。また、この脆弱性を悪用した攻撃が発生する可能性も考慮し、セキュリティ対策を強化していくべきだ。
今後、この脆弱性に関する新たな情報や、ベンダーからの対応が期待される。ユーザーは、最新のセキュリティ情報に注意し、適切な対策を講じる必要があるだろう。
参考サイト/関連サイト
- CVE.「CVE Record: CVE-2025-3981」.https://www.cve.org/CVERecord?id=CVE-2025-3981, (参照 2025-05-15).
