Security Advisory: Forma LMS (CVE-2022-27104)

Unauthenticated SQL Injection in forma Lms <= 1.4.3

Swascan Cyber Security Team ha identificato una vulnerabilità sulle risorse digitali di Forma LMS.

Forma Lms

Forma Lms è la naturale evoluzione, o un “fork”, dell’ultima versione open source della piattaforma LMS Docebo.

Forma Lms è una piattaforma e-learning open source, orientata alle esigenze aziendali: integrabilità, notifiche automatiche e politiche di iscrizione automatica, organigramma, certificati automatici e naturalmente tutte le funzioni tipiche di un LMS.

Il prodotto include una gestione flessibile degli utenti, white labelling, reporting, gestione dei corsi online e in aula, videoconferenze. Dalla versione 3.x include anche l’integrazione con H5P per la creazione di contenuti.

Il progetto è portato avanti dall’associazione profit Forma.Association, con oltre 50 aziende, 200 membri personali e 4.000 utenti della community, che aggiungono costantemente nuove funzionalità e rendono il software più completo e sicuro.

Diverse altre aziende in tutto il mondo utilizzano Forma Lms.

Riassunto tecnico

Il Cyber Security Team di Swascan ha scoperto un’importante vulnerabilità su Forma Lms <= v.1.4.3

VulnerabilityCVSS 3.1
Forma Lms <= 1.4.3 – SQL Injection (unauthenticated)8.6 – High
[AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L]

L’applicazione è vulnerabile ad attacchi SQL Injection non autenticati.

Un attaccante remoto non autenticato potrebbe sfruttare questa vulnerabilità per accedere al DataBase dell’applicazione. Una volta sfruttato, l’attaccante può esfiltrare o sovrascrivere tutti i dati all’interno.

Tuttavia, per sfruttare questa vulnerabilità, l’attaccante deve eseguire una grande quantità di richieste HTTP recuperando un carattere alla volta a causa della tecnica Time-Based (Blind).

Forma Lms versione 1.x ha raggiunto la sua data di fine supporto nel 2019, Forma.Association invita i suoi clienti a migrare alle nuove versioni 3.x che supportano nuovi standard di codifica e strati software come l’ultima versione di PHP.

In accordo con Forma, nessun PoC o informazione sul componente vulnerabile sarà condiviso.

Disclosure Timeline

  • 04-03-2022: Vulnerability discovered
  • 07-03-2022: Vendor contacted by email
  • 08-03-2022: Report shared with vendor
  • 09-03-2022: Meeting with Forma Association and vulnerability confirmation
  • 10-03-2022: Issued CVE ID CVE-2022-27104

Fonti e Riferimenti

Conti Leaks
Cyber defense: security e data protection in azienda

Pronto intervento Cyber Swascan

Contattaci per un supporto immediato

Il sottoscritto, in qualità di interessato DICHIARA di aver letto e compreso il contenuto della privacy policy ai sensi dell’articolo 13, GDPR. ACCONSENTE al trattamento dei Dati in relazione all’invio da parte del Titolare di comunicazioni commerciali e/o promozionali relative a (i) prodotti/servizi propri, ovvero a (ii) prodotti/servizi offerti da terze parti.
Il consenso prestato potrà essere revocato in qualsiasi momento contattando il Titolare ai recapiti presenti nella citata privacy policy.