製品・ソフトウェアに関する情報

JVN脆弱性詳細

Moodle の TeX フィルタにおける任意のファイルを読み取られる脆弱性

Title	Moodle の TeX フィルタにおける任意のファイルを読み取られる脆弱性
Summary	Moodle の TeX フィルタには、任意のファイルを読み取られる脆弱性が存在します。
Possible impacts	攻撃者により、"$$" シーケンス内の input コマンドを介して、LaTeX にそのファイルのコンテンツをインクルードされ、任意のファイルを読み取られる可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	March 30, 2009, midnight
Registration Date	Sept. 25, 2012, 5:27 p.m.
Last Update	Sept. 25, 2012, 5:27 p.m.

Affected System

Moodle

Moodle 1.6.9+ 未満の 1.6、1.7.7+ 未満の 1.7、1.8.9 未満の 1.8、および1.9.5 未満の 1.9

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-1171	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1171
National Vulnerability Database (NVD)
2	CVE-2009-1171	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-1171

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
Moodle
1	Top Page	http://moodle.org/

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-1171

Summary	The TeX filter in Moodle 1.6 before 1.6.9+, 1.7 before 1.7.7+, 1.8 before 1.8.9, and 1.9 before 1.9.5 allows user-assisted attackers to read arbitrary files via an input command in a "$$" sequence, which causes LaTeX to include the contents of the file.
Publication Date	March 31, 2009, 7:30 a.m.
Registration Date	Jan. 29, 2021, 1:16 p.m.
Last Update	Dec. 1, 2020, 11:43 p.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	http://cvs.moodle.org/moodle/filter/tex/filter.php?r1=1.18.4.4&r2=1.18.4.5	CONFIRM	Exploit
2	http://lists.opensuse.org/opensuse-security-announce/2009-04/msg00010.html	SUSE
3	http://secunia.com/advisories/34517	SECUNIA
4	http://secunia.com/advisories/34557	SECUNIA
5	http://secunia.com/advisories/34600	SECUNIA
6	http://secunia.com/advisories/35570	SECUNIA
7	http://tracker.moodle.org/browse/MDL-18552	MISC
8	http://www.debian.org/security/2009/dsa-1761	DEBIAN
9	http://www.securityfocus.com/archive/1/502231/100/0/threaded	BUGTRAQ
10	http://www.securityfocus.com/bid/34278	BID
11	https://usn.ubuntu.com/791-2/	UBUNTU
12	https://www.exploit-db.com/exploits/8297	EXPLOIT-DB
13	https://www.redhat.com/archives/fedora-package-announce/2009-April/msg00077.html	FEDORA
14	https://www.redhat.com/archives/fedora-package-announce/2009-April/msg00079.html	FEDORA

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html