NVD Vulnerability Detail
Search Exploit, PoC
CVE-2015-0972
Summary

Pearson ProctorCache before 2015.1.17 uses the same hardcoded password across different customers' installations, which allows remote attackers to modify test metadata or cause a denial of service (test disruption) by leveraging knowledge of this password.

Publication Date June 24, 2015, 1:59 a.m.
Registration Date Jan. 26, 2021, 2:45 p.m.
Last Update Nov. 21, 2024, 11:24 a.m.
CVSS2.0 : MEDIUM
Score 5.0
Vector AV:N/AC:L/Au:N/C:P/I:N/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I) なし
可用性への影響(A) なし
Get all privileges. いいえ
Get user privileges いいえ
Get other privileges いいえ
User operation required いいえ
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:pearson:proctorcache:*:*:*:*:*:*:*:* 2015.1.16
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
Pearson ProctorCache がハードコードされたパスワードを使用する問題
Title Pearson ProctorCache がハードコードされたパスワードを使用する問題
Summary

Pearson Education, Inc. が提供する ProctorCache には、ハードコードされたパスワードを使用する問題が存在します。 パスワードのハードコード (CWE-259) - CVE-2015-0972 ProctorCache は、試験のコンテンツやレスポンスをキャッシュしたり、受験中のクライアントのリストを保持したりするよう設計されています。ProctorCache は LAN 内のシステムにインストールされるソフトウェアです。 ProctorCache では管理タスクの実行に認証が要求されますが、認証にはハードコードされた管理者パスワードが使用されます。このパスワードは ProctorCache のインストール毎に異なるものが設定されておらず、また、変更することもできません。 CWE-259: Use of Hard-coded Password http://cwe.mitre.org/data/definitions/259.html

Possible impacts ローカルネットワーク上の攻撃者によって、認証情報を使用され、試験のセッションを中断させられたり、試験のキャンセルやユーザの削除といった管理タスクを実行されたりする可能性があります。 開発者によると、実際の試験データは暗号化されているため、試験データに直接アクセスされることはないとのことです。
Solution

[アップデートする] 本脆弱性は ProctorCache version 2015.1.17 で修正されています。 開発者が提供する情報をもとに、最新版へアップデートしてください。
Publication Date June 16, 2015, midnight
Registration Date June 18, 2015, 4:31 p.m.
Last Update June 25, 2015, 5:35 p.m.
Affected System
Pearson Education, Inc.
ProctorCache version 2015.1.17 より前のバージョン
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2015年06月18日]
  掲載
[2015年06月25日]
  CVSS による深刻度:内容を更新
  CWE による脆弱性タイプ一覧:CWE-ID を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2015-0972) を追加		 Feb. 17, 2018, 10:37 a.m.