製品・ソフトウェアに関する情報

JVN脆弱性詳細

Moodle の mod/assign/externallib.php の save_submission 関数における提出期限の制限を回避される脆弱性

Title	Moodle の mod/assign/externallib.php の save_submission 関数における提出期限の制限を回避される脆弱性
Summary	Moodle の mod/assign/externallib.php の save_submission 関数には、提出期限の制限を回避される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-284: Improper Access Control (不適切なアクセス制御) と識別されています。 http://cwe.mitre.org/data/definitions/284.html
Possible impacts	リモート認証されたユーザにより、Web サービスリクエストに生徒のロールを利用されることで、提出期限の制限を回避される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	March 21, 2016, midnight
Registration Date	May 26, 2016, 5:26 p.m.
Last Update	May 26, 2016, 5:26 p.m.

Affected System

Moodle

Moodle 2.6.11 まで

Moodle 2.7.13 未満の 2.7.x

Moodle 2.8.11 未満の 2.8.x

Moodle 2.9.5 未満の 2.9.x

Moodle 3.0.3 未満の 3.0.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-2159	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2159
National Vulnerability Database (NVD)
2	CVE-2016-2159	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2159

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Moodle
1	MDL-52901	https://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-52901
Security Announcements
2	MSA-16-0012: External function mod_assign_save_submission does not check due dates	https://moodle.org/mod/forum/discuss.php?d=330182

Change Log

No	Changed Details	Date of change
0	[2016年05月26日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2016-2159

Summary	The save_submission function in mod/assign/externallib.php in Moodle through 2.6.11, 2.7.x before 2.7.13, 2.8.x before 2.8.11, 2.9.x before 2.9.5, and 3.0.x before 3.0.3 allows remote authenticated users to bypass intended due-date restrictions by leveraging the student role for a web-service request.
Publication Date	May 23, 2016, 5:59 a.m.
Registration Date	Jan. 26, 2021, 2:08 p.m.
Last Update	Nov. 21, 2024, 11:47 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-52901
2	http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-52901
3	http://www.openwall.com/lists/oss-security/2016/03/21/1
4	http://www.openwall.com/lists/oss-security/2016/03/21/1
5	http://www.securitytracker.com/id/1035333
6	http://www.securitytracker.com/id/1035333
7	https://moodle.org/mod/forum/discuss.php?d=330182	Vendor Advisory
8	https://moodle.org/mod/forum/discuss.php?d=330182	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-284	不適切なアクセス制御	https://cwe.mitre.org/data/definitions/284.html