CVE-2026-31282
KrytyczneStreszczenie
Totara LMS w wersji 19.1.5 i wcześniejszych jest podatny na niewłaściwą kontrolę dostępu. Kod strony logowania może być manipulowany w celu ujawnienia formularza logowania, co umożliwia atakującemu przeprowadzenie ataku brute force z powodu braku limitu liczby prób logowania.
Ocena ryzyka
Organizacja może być narażona na ataki brute force, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników. Potencjalne naruszenie bezpieczeństwa może skutkować utratą danych lub dostępem do wrażliwych informacji.
Rekomendacja
Zaleca się wdrożenie odpowiednich mechanizmów ograniczających liczbę prób logowania oraz przegląd i aktualizację konfiguracji zabezpieczeń w Totara LMS. Należy również monitorować logi w celu wykrywania podejrzanej aktywności.
Oryginalny opis (angielski, źródło NVD)
Totara LMS v19.1.5 and before is vulnerable to Incorrect Access Control. The login page code can be manipulated to reveal the login form. An attacker can chain that with missing rate-limit on the login form to launch a brute force attack. NOTE: this is disputed by the Supplier because (1) local login is enabled/disabled server side (this is not a client side control); (2) there is no evidence SSO login can be bypassed to allow local login; and (3) there is no evidence that local login can be performed when disabled server side.

