Security Advisory: Forma LMS (CVE-2022-27104)

Unauthenticated SQL Injection in forma Lms <= 1.4.3

Swascan Cyber Security Team ha identificato una vulnerabilità sulle risorse digitali di Forma LMS.

Forma Lms

Forma Lms è la naturale evoluzione, o un “fork”, dell’ultima versione open source della piattaforma LMS Docebo.

Forma Lms è una piattaforma e-learning open source, orientata alle esigenze aziendali: integrabilità, notifiche automatiche e politiche di iscrizione automatica, organigramma, certificati automatici e naturalmente tutte le funzioni tipiche di un LMS.

Il prodotto include una gestione flessibile degli utenti, white labelling, reporting, gestione dei corsi online e in aula, videoconferenze. Dalla versione 3.x include anche l’integrazione con H5P per la creazione di contenuti.

Il progetto è portato avanti dall’associazione profit Forma.Association, con oltre 50 aziende, 200 membri personali e 4.000 utenti della community, che aggiungono costantemente nuove funzionalità e rendono il software più completo e sicuro.

Diverse altre aziende in tutto il mondo utilizzano Forma Lms.

Riassunto tecnico

Il Cyber Security Team di Swascan ha scoperto un’importante vulnerabilità su Forma Lms <= v.1.4.3

VulnerabilityCVSS 3.1
Forma Lms <= 1.4.3 – SQL Injection (unauthenticated)8.6 – High
[AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L]

L’applicazione è vulnerabile ad attacchi SQL Injection non autenticati.

Un attaccante remoto non autenticato potrebbe sfruttare questa vulnerabilità per accedere al DataBase dell’applicazione. Una volta sfruttato, l’attaccante può esfiltrare o sovrascrivere tutti i dati all’interno.

Tuttavia, per sfruttare questa vulnerabilità, l’attaccante deve eseguire una grande quantità di richieste HTTP recuperando un carattere alla volta a causa della tecnica Time-Based (Blind).

Forma Lms versione 1.x ha raggiunto la sua data di fine supporto nel 2019, Forma.Association invita i suoi clienti a migrare alle nuove versioni 3.x che supportano nuovi standard di codifica e strati software come l’ultima versione di PHP.

In accordo con Forma, nessun PoC o informazione sul componente vulnerabile sarà condiviso.

Disclosure Timeline

  • 04-03-2022: Vulnerability discovered
  • 07-03-2022: Vendor contacted by email
  • 08-03-2022: Report shared with vendor
  • 09-03-2022: Meeting with Forma Association and vulnerability confirmation
  • 10-03-2022: Issued CVE ID CVE-2022-27104

Fonti e Riferimenti

Conti Leaks
Cyber defense: security e data protection in azienda

Pronto intervento Cyber Swascan

Contattaci per un supporto immediato

Il sottoscritto, in qualità di interessato DICHIARA di aver letto e compreso il contenuto della privacy policy ai sensi dell’articolo 13, GDPR. ACCONSENTE al trattamento dei Dati in relazione all’invio da parte del Titolare di comunicazioni afferenti alla gestione di eventuali misure precontrattuali, preordinate alla stipulazione e/o esecuzione del contratto con il Cliente nonché all'adempimento dei relativi obblighi.
Il consenso prestato potrà essere revocato in qualsiasi momento contattando il Titolare ai recapiti presenti nella citata privacy policy.