CRITICAL🇬🇧 English

CVE-2026-31283

Brak rate limiting w API resetowania hasła w Totara LMS — Email Bombing

CVSS 9.8v3.1pub. 2026-04-13upd. 2026-04-24

Totara LMS w wersji v19.1.5 i wcześniejszych nie implementuje rate limiting dla docelowego adresu e-mail w API resetowania hasła, co umożliwia przeprowadzenie ataku Email Bombing. Podatność może być wykorzystana do zasypania skrzynki pocztowej ofiary dużą liczbą wiadomości e-mail z żądaniami resetowania hasła.

Pokaż oryginał (EN)

In Totara LMS v19.1.5 and before, the forgot password API does not implement rate limiting for the target email address. which can be used for an Email Bombing attack. NOTE: the Supplier's position is that the pwresettime configuration defaults to 30 minutes, the pwresettime configuration is a hard control enforced via flag PWRESET_STATUS_ALREADYSENT, and no further password-reset email messages are sent if this flag is active for a specific email address.

🤖 Analiza AI
Jak działa

Atakujący wysyła wielokrotne żądania do endpointu API resetowania hasła, podając adres e-mail ofiary, bez żadnego mechanizmu ograniczającego liczbę takich żądań. System generuje i wysyła kolejne wiadomości e-mail z linkami do resetowania hasła na wskazany adres. Dostawca oprogramowania wskazuje jednak, że domyślna konfiguracja parametru pwresettime wynosi 30 minut, a flaga PWRESET_STATUS_ALREADYSENT blokuje wysyłanie kolejnych wiadomości po pierwszym żądaniu w tym oknie czasowym — co według dostawcy stanowi wystarczającą kontrolę.

Skutki

Atakujący może doprowadzić do przeciążenia skrzynki pocztowej wybranego użytkownika dużą liczbą wiadomości e-mail (Email Bombing), co może skutkować utrudnieniem dostępu do skrzynki lub ukryciem w niej innych wiadomości.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się weryfikację konfiguracji parametru pwresettime oraz upewnienie się, że flaga PWRESET_STATUS_ALREADYSENT jest aktywna. Warto również rozważyć wdrożenie dodatkowych mechanizmów rate limiting na poziomie infrastruktury (np. firewall, reverse proxy).

Kogo dotyczy

Totara LMS w wersji v19.1.5 i wcześniejszych

Uwagi

Dostawca (Totara) kwestionuje wagę podatności, wskazując że wbudowany mechanizm oparty na parametrze pwresettime (domyślnie 30 minut) i fladze PWRESET_STATUS_ALREADYSENT ogranicza możliwość przeprowadzenia ataku Email Bombing. Podatność sklasyfikowana jako CWE-770 (alokacja zasobów bez limitów). Pomimo oceny CVSS 9.8, rzeczywiste ryzyko może być niższe z uwagi na wskazane przez dostawcę wbudowane mechanizmy ochronne.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje