| Summary | REDCap before 5.0.4 and 5.1.x before 5.1.3 does not reject certain undocumented syntax within branching logic and calculations, which allows remote authenticated users to bypass intended access restrictions via (1) the Online Designer or (2) the Data Dictionary upload, as demonstrated by an eval call. |
|---|---|
| Publication Date | June 17, 2013, 8:38 p.m. |
| Registration Date | Jan. 26, 2021, 3:43 p.m. |
| Last Update | Nov. 21, 2024, 10:55 a.m. |
| CVSS2.0 : MEDIUM | |
| Score | 6.5 |
|---|---|
| Vector | AV:N/AC:L/Au:S/C:P/I:P/A:P |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃前の認証要否(Au) | 単一 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | 低 |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | いいえ |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:project-redcap:redcap:5.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:project-redcap:redcap:5.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:project-redcap:redcap:4.15.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:project-redcap:redcap:4.15.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:project-redcap:redcap:4.14.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:project-redcap:redcap:4.14.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:project-redcap:redcap:5.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:project-redcap:redcap:5.1.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:project-redcap:redcap:4.13.18:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:project-redcap:redcap:4.15.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:project-redcap:redcap:4.15.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:project-redcap:redcap:4.15.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:project-redcap:redcap:5.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:project-redcap:redcap:5.0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:vanderbilt:redcap:4.14.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:vanderbilt:redcap:*:*:*:*:*:*:*:* | 5.0.3 | ||||
| cpe:2.3:a:vanderbilt:redcap:4.14.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:vanderbilt:redcap:4.14.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:vanderbilt:redcap:4.14.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:vanderbilt:redcap:4.14.1:*:*:*:*:*:*:* | |||||
| Title | REDCap におけるアクセス制限を回避される脆弱性 |
|---|---|
| Summary | REDCap は、分岐ロジックおよび計算内の文書化されていない特定の構文を拒否しないため、アクセス制限を回避される脆弱性が存在します。 |
| Possible impacts | リモート認証されたユーザにより、(1) Online Designer および (2) Data Dictionary アップロード機能を呼び出されることで、アクセス制限を回避される可能性があります。 |
| Solution | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date | Feb. 15, 2013, midnight |
| Registration Date | June 18, 2013, 5:23 p.m. |
| Last Update | June 18, 2013, 5:23 p.m. |
| Project Redcap |
| REDCap 5.0.4 未満 |
| REDCap 5.1.3 未満の 5.1.x |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2013年06月18日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |