プラットフォーム
php
コンポーネント
totara-lms
修正版
13.0.1
13.1.1
13.2.1
13.3.1
13.4.1
13.5.1
13.6.1
13.7.1
13.8.1
13.9.1
13.10.1
13.11.1
13.12.1
13.13.1
13.14.1
13.15.1
13.16.1
13.17.1
13.18.1
13.19.1
13.20.1
13.21.1
13.22.1
13.23.1
13.24.1
13.25.1
13.26.1
13.27.1
13.28.1
13.29.1
13.30.1
13.31.1
13.32.1
13.33.1
13.34.1
13.35.1
13.36.1
13.37.1
13.38.1
13.39.1
13.40.1
13.41.1
13.42.1
13.43.1
13.44.1
13.45.1
14.0.1
14.1.1
14.2.1
14.3.1
14.4.1
14.5.1
14.6.1
14.7.1
14.8.1
14.9.1
14.10.1
14.11.1
14.12.1
14.13.1
14.14.1
14.15.1
14.16.1
14.17.1
14.18.1
14.19.1
14.20.1
14.21.1
14.22.1
14.23.1
14.24.1
14.25.1
14.26.1
14.27.1
14.28.1
14.29.1
14.30.1
14.31.1
14.32.1
14.33.1
14.34.1
14.35.1
14.36.1
14.37.1
15.0.1
15.1.1
15.2.1
15.3.1
15.4.1
15.5.1
15.6.1
15.7.1
15.8.1
15.9.1
15.10.1
15.11.1
15.12.1
15.13.1
15.14.1
15.15.1
15.16.1
15.17.1
15.18.1
15.19.1
15.20.1
15.21.1
15.22.1
15.23.1
15.24.1
15.25.1
15.26.1
15.27.1
15.28.1
15.29.1
15.30.1
15.31.1
15.32.1
16.0.1
16.1.1
16.2.1
16.3.1
16.4.1
16.5.1
16.6.1
16.7.1
16.8.1
16.9.1
16.10.1
16.11.1
16.12.1
16.13.1
16.14.1
16.15.1
16.16.1
16.17.1
16.18.1
16.19.1
16.20.1
16.21.1
16.22.1
16.23.1
16.24.1
16.25.1
16.26.1
17.0.1
17.1.1
17.2.1
17.3.1
17.4.1
17.5.1
17.6.1
17.7.1
17.8.1
17.9.1
17.10.1
17.11.1
17.12.1
17.13.1
17.14.1
17.15.1
17.16.1
17.17.1
17.18.1
17.19.1
17.20.1
18.0.1
18.1.1
18.2.1
18.3.1
18.4.1
18.5.1
18.6.1
18.7.1
CVE-2024-3932は、Totara LMSのバージョン18.7以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。この脆弱性は、ユーザー選択コンポーネントに影響を与え、攻撃者が不正なリクエストを送信する可能性があります。影響を受けるバージョンは18.7以前であり、バージョン18.8へのアップグレードでこの問題は解決されます。
このCSRF脆弱性を悪用されると、攻撃者は認証されたユーザーになりすまして、Totara LMS内で不正な操作を実行できます。例えば、ユーザーの権限を昇格させたり、設定を変更したり、機密情報を盗み出したりすることが可能です。攻撃者は、ユーザーがログインしている間に悪意のあるリクエストを送信することで、ユーザーの意図しない操作を引き起こすことができます。この脆弱性は、Totara LMSのセキュリティを著しく損なう可能性があります。
この脆弱性は2024年4月18日に公開されており、攻撃手法が公開されています。現時点で、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、攻撃者による悪用リスクは存在します。CISA KEVリストへの登録状況は不明です。攻撃手法が公開されているため、早急な対応が必要です。
Organizations and educational institutions utilizing Totara LMS, particularly those running versions prior to 18.8, are at risk. Shared hosting environments where multiple Totara LMS instances reside on the same server could amplify the impact if one instance is compromised.
• wordpress / composer / npm:
grep -r "User Selector" /var/www/totara/• generic web:
curl -I https://your-totara-instance/user/selector | grep -i "csrf-token"disclosure
エクスプロイト状況
EPSS
0.05% (15% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずTotara LMSをバージョン18.8にアップグレードすることを強く推奨します。アップグレードが困難な場合は、一時的な緩和策として、WAF(Web Application Firewall)を導入し、CSRFトークンの検証を強化することを検討してください。また、ユーザーに対して、不審なリンクをクリックしないように注意喚起することも重要です。アップグレード後、システムが正常に動作していることを確認してください。
Totara LMS をバージョン 13.46, 14.38, 15.33, 16.27, 17.21 または 18.8、またはそれ以降のバージョンにアップデートしてください。これにより、ユーザーセレクターの Cross-Site Request Forgery (CSRF) 脆弱性が修正されます。アップデート前にバックアップを作成することをお勧めします。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-3932は、Totara LMSのバージョン18.7以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性です。攻撃者は、認証されたユーザーになりすまして不正な操作を実行する可能性があります。
はい、影響があります。攻撃者は、認証されたユーザーになりすまして、Totara LMS内で不正な操作を実行する可能性があります。
Totara LMSをバージョン18.8にアップグレードすることで修正できます。アップグレードが困難な場合は、WAFを導入するなど、一時的な緩和策を検討してください。
現時点で、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、攻撃手法が公開されているため、悪用リスクは存在します。
公式のアドバイザリは、Totara LMSのセキュリティアドバイザリページで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。