Plateforme
php
Composant
totara-lms
Corrigé dans
13.0.1
13.1.1
13.2.1
13.3.1
13.4.1
13.5.1
13.6.1
13.7.1
13.8.1
13.9.1
13.10.1
13.11.1
13.12.1
13.13.1
13.14.1
13.15.1
13.16.1
13.17.1
13.18.1
13.19.1
13.20.1
13.21.1
13.22.1
13.23.1
13.24.1
13.25.1
13.26.1
13.27.1
13.28.1
13.29.1
13.30.1
13.31.1
13.32.1
13.33.1
13.34.1
13.35.1
13.36.1
13.37.1
13.38.1
13.39.1
13.40.1
13.41.1
13.42.1
13.43.1
13.44.1
13.45.1
14.0.1
14.1.1
14.2.1
14.3.1
14.4.1
14.5.1
14.6.1
14.7.1
14.8.1
14.9.1
14.10.1
14.11.1
14.12.1
14.13.1
14.14.1
14.15.1
14.16.1
14.17.1
14.18.1
14.19.1
14.20.1
14.21.1
14.22.1
14.23.1
14.24.1
14.25.1
14.26.1
14.27.1
14.28.1
14.29.1
14.30.1
14.31.1
14.32.1
14.33.1
14.34.1
14.35.1
14.36.1
14.37.1
15.0.1
15.1.1
15.2.1
15.3.1
15.4.1
15.5.1
15.6.1
15.7.1
15.8.1
15.9.1
15.10.1
15.11.1
15.12.1
15.13.1
15.14.1
15.15.1
15.16.1
15.17.1
15.18.1
15.19.1
15.20.1
15.21.1
15.22.1
15.23.1
15.24.1
15.25.1
15.26.1
15.27.1
15.28.1
15.29.1
15.30.1
15.31.1
15.32.1
16.0.1
16.1.1
16.2.1
16.3.1
16.4.1
16.5.1
16.6.1
16.7.1
16.8.1
16.9.1
16.10.1
16.11.1
16.12.1
16.13.1
16.14.1
16.15.1
16.16.1
16.17.1
16.18.1
16.19.1
16.20.1
16.21.1
16.22.1
16.23.1
16.24.1
16.25.1
16.26.1
17.0.1
17.1.1
17.2.1
17.3.1
17.4.1
17.5.1
17.6.1
17.7.1
17.8.1
17.9.1
17.10.1
17.11.1
17.12.1
17.13.1
17.14.1
17.15.1
17.16.1
17.17.1
17.18.1
17.19.1
17.20.1
18.0.1
18.1.1
18.2.1
18.3.1
18.4.1
18.5.1
18.6.1
18.7.1
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans Totara LMS, affectant les versions inférieures ou égales à 18.7. Cette faille impacte le composant Sélecteur d’utilisateur, permettant potentiellement à un attaquant d’exécuter des actions non autorisées au nom d’un utilisateur authentifié. La mise à jour vers la version 18.8 corrige cette vulnérabilité et est fortement recommandée.
La vulnérabilité CSRF dans Totara LMS permet à un attaquant de créer des requêtes web malveillantes qui, lorsqu'elles sont exécutées par un utilisateur authentifié, peuvent modifier des données, effectuer des actions ou compromettre la sécurité du système. Un attaquant pourrait, par exemple, modifier les permissions d'un utilisateur, créer de nouveaux comptes ou supprimer des données sensibles. L'exploitation réussie de cette vulnérabilité peut entraîner une perte de contrôle sur le système et une compromission de la confidentialité des données.
Cette vulnérabilité a été divulguée publiquement le 18 avril 2024. Bien que le CVSS soit classé comme LOW, la nature de CSRF signifie qu'elle peut être exploitée facilement si les utilisateurs sont dupés pour cliquer sur des liens malveillants. Il n'y a pas d'indication d'une exploitation active à grande échelle à ce jour, mais la divulguation publique augmente le risque d'attaques.
Organizations and educational institutions utilizing Totara LMS, particularly those running versions prior to 18.8, are at risk. Shared hosting environments where multiple Totara LMS instances reside on the same server could amplify the impact if one instance is compromised.
• wordpress / composer / npm:
grep -r "User Selector" /var/www/totara/• generic web:
curl -I https://your-totara-instance/user/selector | grep -i "csrf-token"disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Totara LMS vers la version 18.8, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de mettre en œuvre des mesures de sécurité supplémentaires, telles que la validation des entrées utilisateur et l'utilisation de jetons CSRF pour protéger les actions critiques. En attendant la mise à jour, examinez attentivement les logs d'accès pour détecter des activités suspectes et envisagez de restreindre l'accès aux fonctionnalités sensibles.
Mettez à jour Totara LMS à la version 13.46, 14.38, 15.33, 16.27, 17.21 ou 18.8, ou à une version ultérieure. Cela corrigera la vulnérabilité de Cross-Site Request Forgery (CSRF) dans le sélecteur d'utilisateurs. Il est recommandé de faire une sauvegarde avant de mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-3932 is a cross-site request forgery vulnerability affecting Totara LMS versions up to 18.7, allowing attackers to potentially perform actions as a logged-in user.
You are affected if you are running Totara LMS versions 18.7 or earlier. Upgrade to version 18.8 to mitigate the risk.
Upgrade Totara LMS to version 18.8 or later. Consider implementing CSRF tokens and input validation as interim measures.
While no active campaigns are confirmed, the vulnerability has been publicly disclosed, increasing the potential for exploitation.
Refer to the Totara LMS security advisory page for the latest information and updates: [https://totaralms.com/security/](https://totaralms.com/security/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.