SOTTO ATTACCO?
POSSIAMO AIUTARTI

Security Advisory: Forma LMS (CVE-2022-27104)

Unauthenticated SQL Injection in forma Lms <= 1.4.3

Il Cyber Security Team di Tinexta Cyber ha identificato una vulnerabilità sulle risorse digitali di Forma LMS.

Forma Lms

Forma Lms è la naturale evoluzione, o un “fork”, dell’ultima versione open source della piattaforma LMS Docebo.

Forma Lms è una piattaforma e-learning open source, orientata alle esigenze aziendali: integrabilità, notifiche automatiche e politiche di iscrizione automatica, organigramma, certificati automatici e naturalmente tutte le funzioni tipiche di un LMS.

Il prodotto include una gestione flessibile degli utenti, white labelling, reporting, gestione dei corsi online e in aula, videoconferenze. Dalla versione 3.x include anche l’integrazione con H5P per la creazione di contenuti.

Il progetto è portato avanti dall’associazione profit Forma.Association, con oltre 50 aziende, 200 membri personali e 4.000 utenti della community, che aggiungono costantemente nuove funzionalità e rendono il software più completo e sicuro.

Diverse altre aziende in tutto il mondo utilizzano Forma Lms.

Riassunto tecnico

Il Cyber Security Team di Tinexta Cyber ha scoperto un’importante vulnerabilità su Forma Lms <= v.1.4.3

VulnerabilityCVSS 3.1
Forma Lms <= 1.4.3 – SQL Injection (unauthenticated)8.6 – High
[AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L]

L’applicazione è vulnerabile ad attacchi SQL Injection non autenticati.

Un attaccante remoto non autenticato potrebbe sfruttare questa vulnerabilità per accedere al DataBase dell’applicazione. Una volta sfruttato, l’attaccante può esfiltrare o sovrascrivere tutti i dati all’interno.

Tuttavia, per sfruttare questa vulnerabilità, l’attaccante deve eseguire una grande quantità di richieste HTTP recuperando un carattere alla volta a causa della tecnica Time-Based (Blind).

Forma Lms versione 1.x ha raggiunto la sua data di fine supporto nel 2019, Forma.Association invita i suoi clienti a migrare alle nuove versioni 3.x che supportano nuovi standard di codifica e strati software come l’ultima versione di PHP.

In accordo con Forma, nessun PoC o informazione sul componente vulnerabile sarà condiviso.

Disclosure Timeline

  • 04-03-2022: Vulnerability discovered
  • 07-03-2022: Vendor contacted by email
  • 08-03-2022: Report shared with vendor
  • 09-03-2022: Meeting with Forma Association and vulnerability confirmation
  • 10-03-2022: Issued CVE ID CVE-2022-27104

Fonti e Riferimenti

Articoli correlati

Cyber Incident Emergency Contact

Contact us for immediate support

Abilita JavaScript nel browser per completare questo modulo.
Accettazione GDPR