Katalog CVE

CVE-2026-31283

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W Totara LMS w wersji 19.1.5 i wcześniejszych, API do resetowania hasła nie wprowadza limitu liczby prób dla docelowego adresu e-mail, co może być wykorzystane do ataku typu Email Bombing. Dodatkowo, konfiguracja pwresettime domyślnie wynosi 30 minut, a aktywacja flagi PWRESET_STATUS_ALREADYSENT zapobiega wysyłaniu kolejnych wiadomości o resetowaniu hasła dla danego adresu e-mail.

Ocena ryzyka

Brak limitu prób dla resetowania hasła może prowadzić do przeciążenia systemu oraz zakłócenia działania usługi, co może wpłynąć na dostępność i reputację organizacji.

Rekomendacja

Zaleca się wprowadzenie limitu prób dla API resetowania hasła oraz monitorowanie aktywności związanej z tym procesem, aby zminimalizować ryzyko ataków typu Email Bombing.

Oryginalny opis (angielski, źródło NVD)

In Totara LMS v19.1.5 and before, the forgot password API does not implement rate limiting for the target email address. which can be used for an Email Bombing attack. NOTE: the Supplier's position is that the pwresettime configuration defaults to 30 minutes, the pwresettime configuration is a hard control enforced via flag PWRESET_STATUS_ALREADYSENT, and no further password-reset email messages are sent if this flag is active for a specific email address.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS