プラットフォーム
erpnext
コンポーネント
lms
修正版
2.46.0
CVE-2026-39415は、Frappe Learning Management System (LMS)において発見された脆弱性です。この脆弱性を悪用されると、学生が提出前にブラウザの開発者ツールを使用してクイズスコアを改ざんできてしまいます。これにより、クイズ結果の信頼性が損なわれ、学術的な信頼性が低下する可能性があります。バージョン2.46.0以降で修正されています。
CVE-2026-39415 は、2.46.0 より前のバージョンの Frappe Learning Management System (LMS) に影響を与えます。この脆弱性により、学生は提出前にクイズのスコアを修正できます。これは、アプリケーションが現在、クライアント側で計算されたスコアに依存しているためです。これにより、提出リクエストを送信する前に、ブラウザの開発者ツールを使用してこれらの計算を操作できます。この脆弱性は、他のユーザーのデータを変更したり、特権昇格を許可するものではありませんが、クイズのスコアの整合性と評価の妥当性を損なっています。
この脆弱性の悪用には、学生の Web ブラウザへのアクセスと、クイズのスコアを計算する JavaScript コードを変更するために開発者ツールを使用する必要があります。攻撃者は、クイズにアクセスしてスコアを操作するために、LMS の正当なユーザーである必要があります。悪用の難易度は比較的低く、ブラウザの開発者ツールは広く利用可能です。ただし、評価の整合性への影響は大きいです。
Educational institutions and organizations utilizing Frappe Learning Management System (LMS) versions 1.0.0 through 2.46.0 are at risk. Specifically, courses relying heavily on quizzes for assessment are particularly vulnerable. Organizations with limited security expertise or those who have not implemented robust code review processes are also at higher risk.
• Generic Web: Check the Frappe LMS application code for client-side score calculations without server-side validation. Use curl to inspect API endpoints related to quiz submissions for potential vulnerabilities.
• php: Examine PHP code for functions related to quiz score calculation and submission. Look for instances where client-side data is directly used without validation. Use grep to search for keywords like $_POST and score in relevant files.
• Database (MySQL): Query the database for suspicious quiz score entries that deviate significantly from expected ranges or patterns. Use a query like SELECT score FROM quiz_results WHERE score > 100 OR score < 0;
disclosure
エクスプロイト状況
EPSS
0.10% (27% パーセンタイル)
CISA SSVC
この脆弱性に対する解決策は、Frappe LMS のバージョン 2.46.0 以降にアップグレードすることです。このバージョンには、クイズのスコアをサーバー側で検証し、クライアント側の操作を防ぐ修正が含まれています。学習成果に対する評価の整合性と信頼を保護するために、できるだけ早くこのアップデートを適用することをお勧めします。さらに、評価ポリシーと慣行を見直して、アップデートを補完し、安全で信頼性の高い学習環境を確保します。
Actualice el Frappe Learning Management System a la versión 2.46.0 o posterior para mitigar la vulnerabilidad. Esta versión corrige el problema al validar los puntajes de los cuestionarios en el lado del servidor, evitando que los estudiantes los modifiquen a través de herramientas de desarrollo del navegador.
脆弱性分析と重要アラートをメールでお届けします。
いいえ、この脆弱性は、学生自身のスコアの変更のみを許可します。
その間は、クイズのスコアを注意深く監視し、回答を手動で確認するなど、追加のセキュリティ対策を検討してください。
バージョン 2.46.0 にアップグレードすることが最適な保護です。さらに、学生に学術的な誠実性の重要性を教育することで、乱用を防ぐことができます。
いいえ、この脆弱性は、ユーザーの個人データのプライバシーには影響しません。
KEV (Knowledge Enhanced Vulnerability) は分類です。「いいえ」は、KEV ソースでこの脆弱性に関する追加情報や詳細な分析が見つかっていないことを示します。