製品・ソフトウェアに関する情報

JVN脆弱性詳細

Moodle の admin/registration/register.php におけるクロスサイトリクエストフォージェリの脆弱性

タイトル	Moodle の admin/registration/register.php におけるクロスサイトリクエストフォージェリの脆弱性
概要	Moodle の admin/registration/register.php には、クロスサイトリクエストフォージェリの脆弱性が存在します。
想定される影響	第三者により、管理者の認証をハイジャックされ、任意のハブ URL へ統計を送信される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2015年11月16日0:00
登録日	2016年3月3日15:48
最終更新日	2016年3月3日15:48

影響を受けるシステム

Moodle

Moodle 2.6.11 まで

Moodle 2.7.11 未満の 2.7.x

Moodle 2.8.9 未満の 2.8.x

Moodle 2.9.3 未満の 2.9.x

Moodle 2.6.11 まで

Moodle 2.7.11 未満の 2.7.x

Moodle 2.8.9 未満の 2.8.x

Moodle 2.9.3 未満の 2.9.x

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-5335	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5335
2	CVE-2015-5335	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5335
National Vulnerability Database (NVD)
3	CVE-2015-5335	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5335
4	CVE-2015-5335	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5335

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html
2	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html
3	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html
4	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	名前	URL
Moodle
1	MDL-51091	https://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-51091
2	MDL-51091	https://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-51091
Security Announcements
3	MSA-15-0039: CSRF in site registration form	https://moodle.org/mod/forum/discuss.php?d=323230
4	MSA-15-0039: CSRF in site registration form	https://moodle.org/mod/forum/discuss.php?d=323230

変更履歴

No	変更内容	変更日
0	[2016年03月03日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2015-5335

概要	Cross-site request forgery (CSRF) vulnerability in admin/registration/register.php in Moodle through 2.6.11, 2.7.x before 2.7.11, 2.8.x before 2.8.9, and 2.9.x before 2.9.3 allows remote attackers to hijack the authentication of administrators for requests that send statistics to an arbitrary hub URL.
公表日	2016年2月22日14:59
登録日	2021年1月26日14:52
最終更新日	2024年11月21日11:32

影響を受けるソフトウェアの構成

No	URL	タグ
1	http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-51091
2	http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-51091
3	https://moodle.org/mod/forum/discuss.php?d=323230	Vendor Advisory
4	https://moodle.org/mod/forum/discuss.php?d=323230	Vendor Advisory

No	CWE	名前	URL
1	CWE-200	情報漏えい	https://cwe.mitre.org/data/definitions/200.html
2	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
3	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html