Totara LMS w wersji v19.1.5 i wcześniejszych nie implementuje rate limiting dla docelowego adresu e-mail w API resetowania hasła, co umożliwia przeprowadzenie ataku Email Bombing. Podatność może być wykorzystana do zasypania skrzynki pocztowej ofiary dużą liczbą wiadomości e-mail z żądaniami resetowania hasła.
▸ Pokaż oryginał (EN)
In Totara LMS v19.1.5 and before, the forgot password API does not implement rate limiting for the target email address. which can be used for an Email Bombing attack. NOTE: the Supplier's position is that the pwresettime configuration defaults to 30 minutes, the pwresettime configuration is a hard control enforced via flag PWRESET_STATUS_ALREADYSENT, and no further password-reset email messages are sent if this flag is active for a specific email address.
Atakujący wysyła wielokrotne żądania do endpointu API resetowania hasła, podając adres e-mail ofiary, bez żadnego mechanizmu ograniczającego liczbę takich żądań. System generuje i wysyła kolejne wiadomości e-mail z linkami do resetowania hasła na wskazany adres. Dostawca oprogramowania wskazuje jednak, że domyślna konfiguracja parametru pwresettime wynosi 30 minut, a flaga PWRESET_STATUS_ALREADYSENT blokuje wysyłanie kolejnych wiadomości po pierwszym żądaniu w tym oknie czasowym — co według dostawcy stanowi wystarczającą kontrolę.
Atakujący może doprowadzić do przeciążenia skrzynki pocztowej wybranego użytkownika dużą liczbą wiadomości e-mail (Email Bombing), co może skutkować utrudnieniem dostępu do skrzynki lub ukryciem w niej innych wiadomości.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się weryfikację konfiguracji parametru pwresettime oraz upewnienie się, że flaga PWRESET_STATUS_ALREADYSENT jest aktywna. Warto również rozważyć wdrożenie dodatkowych mechanizmów rate limiting na poziomie infrastruktury (np. firewall, reverse proxy).
Totara LMS w wersji v19.1.5 i wcześniejszych
Dostawca (Totara) kwestionuje wagę podatności, wskazując że wbudowany mechanizm oparty na parametrze pwresettime (domyślnie 30 minut) i fladze PWRESET_STATUS_ALREADYSENT ogranicza możliwość przeprowadzenia ataku Email Bombing. Podatność sklasyfikowana jako CWE-770 (alokacja zasobów bez limitów). Pomimo oceny CVSS 9.8, rzeczywiste ryzyko może być niższe z uwagi na wskazane przez dostawcę wbudowane mechanizmy ochronne.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H