【CVE-2024-48901】Moodleに認可の脆弱性が発見、レポートスケジュール機能のセキュリティに懸念

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約
Moodle4.4.0-4.4.4のIDORの脆弱性
Moodleの脆弱性詳細
不適切な認可について
Moodleの認可機能に関する考察
参考サイト

記事の要約

Moodleに脆弱性が発見され【CVE-2024-48901】として報告
レポートスケジュールへのアクセス制御に問題
複数のバージョンに影響が及ぶことが判明

Moodle4.4.0-4.4.4のIDORの脆弱性

Red Hat社は2024年11月18日、学習管理システムMoodleにおいて不適切な認可処理の脆弱性【CVE-2024-48901】を公開した。この脆弱性はレポートスケジュールの取得時に必要な権限チェックが不十分であり、ユーザーが編集権限のないレポートのスケジュールにアクセスできてしまう問題が存在している。^[1]

影響を受けるバージョンは、Moodle 4.4.0から4.4.4未満、4.3.0から4.3.8未満、4.2.0から4.2.11未満、4.1.0から4.1.14未満、および4.1.0未満の全てのバージョンとなっている。CVSSスコアは4.3（Medium）であり、攻撃者は低い特権レベルで攻撃を実行可能だ。

Red Hat社はこの脆弱性に対して、レポートの編集権限を持つユーザーのみがスケジュールにアクセスできるよう、追加のセキュリティチェックを実装した修正版をリリースしている。システム管理者は影響を受けるバージョンを使用している場合、速やかに最新バージョンへのアップデートを実施することが推奨される。

Moodleの脆弱性詳細

項目	詳細
CVE番号	CVE-2024-48901
脆弱性タイプ	CWE-285（不適切な認可）
影響度	CVSS：4.3（Medium）
影響を受けるバージョン	4.4.0-4.4.4、4.3.0-4.3.8、4.2.0-4.2.11、4.1.0-4.1.14、4.1.0未満
対象機能	レポートスケジュールの取得機能
必要な対策	最新バージョンへのアップデート

不適切な認可について

不適切な認可とは、システムがユーザーに対して適切なアクセス制御を実施できていない状態のことを指す。主な特徴として、以下のような点が挙げられる。

ユーザーの権限チェックが不十分または存在しない
認証済みユーザーが不正なアクセスを行える可能性
機密情報や重要機能への不正アクセスのリスク

本脆弱性では、Moodleのレポートスケジュール機能において、ユーザーがレポートを編集する権限を持っているかどうかの確認が不十分であることが問題となっている。この脆弱性を悪用されると、権限のないユーザーがレポートスケジュールにアクセスできてしまい、情報漏洩やシステムの不正利用につながる可能性が存在するのだ。

Moodleの認可機能に関する考察

Moodleの認可機能における今回の脆弱性は、教育機関における情報セキュリティの重要性を再認識させる契機となった。特にレポートスケジュールのような機密性の高い情報へのアクセス制御は、学習管理システムの信頼性を確保する上で極めて重要な要素となっている。今後はより厳密な権限チェックの実装が求められるだろう。

また、オープンソースソフトウェアであるMoodleの特性上、コミュニティによる脆弱性の発見と修正は継続的な課題となっている。セキュリティ研究者やデベロッパーによる定期的なコードレビューと、発見された問題への迅速な対応が不可欠だ。今後は機械学習を活用した自動的な脆弱性検出システムの導入も検討に値するだろう。

さらに、教育機関のデジタル化が進む中、Moodleのようなプラットフォームのセキュリティ強化は急務となっている。権限管理の粒度を細かくし、ロールベースのアクセス制御をより強固にすることで、今後同様の脆弱性が発生するリスクを低減できる。セキュリティと使いやすさのバランスを保ちながら、継続的な改善が期待される。