Totara LMS версии 19.1.5 и более ранних версий уязвима к некорректному контролю доступа. Кодом страницы входа можно манипулировать, чтобы открыть форму входа. Злоумышленник может связать это с отсутствующим ограничением скорости в форме входа, чтобы запустить атаку методом перебора.
Показать оригинальное описание (EN)
Totara LMS v19.1.5 and before is vulnerable to Incorrect Access Control. The login page code can be manipulated to reveal the login form. An attacker can chain that with missing rate-limit on the login form to launch a brute force attack.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1