Katalog CVE

CVE-2026-31282

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Totara LMS w wersji 19.1.5 i wcześniejszych jest podatny na niewłaściwą kontrolę dostępu. Kod strony logowania może być manipulowany w celu ujawnienia formularza logowania, co umożliwia atakującemu przeprowadzenie ataku brute force z powodu braku limitu liczby prób logowania.

Ocena ryzyka

Organizacja może być narażona na ataki brute force, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników. Potencjalne naruszenie bezpieczeństwa może skutkować utratą danych lub dostępem do wrażliwych informacji.

Rekomendacja

Zaleca się wdrożenie odpowiednich mechanizmów ograniczających liczbę prób logowania oraz przegląd i aktualizację konfiguracji zabezpieczeń w Totara LMS. Należy również monitorować logi w celu wykrywania podejrzanej aktywności.

Oryginalny opis (angielski, źródło NVD)

Totara LMS v19.1.5 and before is vulnerable to Incorrect Access Control. The login page code can be manipulated to reveal the login form. An attacker can chain that with missing rate-limit on the login form to launch a brute force attack. NOTE: this is disputed by the Supplier because (1) local login is enabled/disabled server side (this is not a client side control); (2) there is no evidence SSO login can be bypassed to allow local login; and (3) there is no evidence that local login can be performed when disabled server side.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS