製品・ソフトウェアに関する情報

JVN脆弱性詳細

Moodle の user/index.php における生徒の電子メールアドレスを取得される脆弱性

Title	Moodle の user/index.php における生徒の電子メールアドレスを取得される脆弱性
Summary	Moodle の user/index.php は、moodle/course:viewhiddenuserfields ケイパビリティに基づく過度の認証を許可するため、生徒の電子メールアドレスを取得される脆弱性が存在します。
Possible impacts	リモート認証されたユーザにより、教師のロールを利用され、参加者リストを読まれることで、生徒の電子メールアドレスを取得される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	March 21, 2016, midnight
Registration Date	May 26, 2016, 5:22 p.m.
Last Update	May 26, 2016, 5:22 p.m.

Affected System

Moodle

Moodle 2.6.11 まで

Moodle 2.7.13 未満の 2.7.x

Moodle 2.8.11 未満の 2.8.x

Moodle 2.9.5 未満の 2.9.x

Moodle 3.0.3 未満の 3.0.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-2151	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2151
National Vulnerability Database (NVD)
2	CVE-2016-2151	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2151

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	Name	URL
Moodle
1	MDL-52433	https://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-52433
Security Announcements
2	MSA-16-0003: Incorrect capability check when displaying users emails in Participants list	https://moodle.org/mod/forum/discuss.php?d=330173

Change Log

No	Changed Details	Date of change
0	[2016年05月26日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2016-2151

Summary	user/index.php in Moodle through 2.6.11, 2.7.x before 2.7.13, 2.8.x before 2.8.11, 2.9.x before 2.9.5, and 3.0.x before 3.0.3 grants excessive authorization on the basis of the moodle/course:viewhiddenuserfields capability, which allows remote authenticated users to discover student e-mail addresses by leveraging the teacher role and reading a Participants list.
Publication Date	May 23, 2016, 5:59 a.m.
Registration Date	Jan. 26, 2021, 2:08 p.m.
Last Update	Nov. 21, 2024, 11:47 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-52433
2	http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-52433
3	http://www.openwall.com/lists/oss-security/2016/03/21/1
4	http://www.openwall.com/lists/oss-security/2016/03/21/1
5	http://www.securitytracker.com/id/1035333
6	http://www.securitytracker.com/id/1035333
7	https://moodle.org/mod/forum/discuss.php?d=330173	Vendor Advisory
8	https://moodle.org/mod/forum/discuss.php?d=330173	Vendor Advisory

Common Vulnerabilities List