Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Forma LMS

Fecha de publicación 25/10/2022
Identificador

INCIBE-2022-0982

Importancia
5 - Crítica
Recursos Afectados

Forma LMS, versión 3.1.0.

Descripción

INCIBE ha coordinado la publicación de 6 vulnerabilidades en Forma LMS, que han sido descubiertas por Tin Pham, también conocido como 'TF1T'.

A estas vulnerabilidades se les han asignado los códigos:

  • CVE-2022-41679. Se ha calculado una puntuación base CVSS v3.1 de 4,7, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N. El tipo de vulnerabilidad es CWE-79: neutralización inadecuada de la entrada durante la generación de la página web (Cross-Site Scripting).
  • CVE-2022-41680. Se ha calculado una puntuación base CVSS v3.1 de 7,6, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L. El tipo de vulnerabilidad es CWE-89: neutralización incorrecta de los elementos especiales utilizados en un comando SQL (inyección SQL).
  • CVE-2022-41681. Se ha calculado una puntuación base CVSS v3.1 de 9,9, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H. El tipo de vulnerabilidad es CWE-434: subida de ficheros potencialmente maliciosos sin restricción.
  • CVE-2022-42923. Se ha calculado una puntuación base CVSS v3.1 de 8,3, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L. El tipo de vulnerabilidad es CWE-89: neutralización incorrecta de los elementos especiales utilizados en un comando SQL (inyección SQL).
  • CVE-2022-42924. Se ha calculado una puntuación base CVSS v3.1 de 7,6, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L. El tipo de vulnerabilidad es CWE-89: neutralización incorrecta de los elementos especiales utilizados en un comando SQL (inyección SQL).
  • CVE-2022-42925. Se ha calculado una puntuación base CVSS v3.1 de 9,9, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H. El tipo de vulnerabilidad es CWE-434: subida de ficheros potencialmente maliciosos sin restricción.
Solución

Estas vulnerabilidades han sido resueltas por Forma en LMS versión 3.2.1.

Detalle
  • CVE-2022-41679: la versión 3.1.0 y anteriores de Forma LMS están afectadas por una vulnerabilidad de Cross-Site Scripting, que podría permitir a un atacante remoto inyectar código JavaScript en el parámetro 'back_url' de la función 'appLms/index.php?modname=faq&op=play'. La explotación de esta vulnerabilidad podría permitir a un atacante robar las cookies del usuario para entrar en la aplicación.
  • CVE-2022-41680: Forma LMS en su versión 3.1.0 y anteriores es vulnerable a una inyección SQL. La explotación de esta vulnerabilidad podría permitir a un atacante autenticado (con el rol de estudiante) realizar una inyección SQL en el parámetro 'search[value]' en la función 'appLms/ajax.server.php?r=mycertificate/getMyCertificates' para volcar toda la base de datos.
  • CVE-2022-41681: existe una vulnerabilidad en Forma LMS versión 3.1.0 y anteriores que podría permitir a un atacante autentificado (con el rol de estudiante) escalar privilegios para cargar un archivo Zip a través de la función de importador SCORM. La explotación de esta vulnerabilidad podría llevar a una inyección de código remota.
  • CVE-2022-42923: Forma LMS en su versión 3.1.0 y anteriores es vulnerable a una inyección SQL. La explotación de esta vulnerabilidad podría permitir a un atacante autenticado (con el rol de estudiante) realizar una inyección SQL en el parámetro 'id' en la función 'appCore/index.php?r=adm/mediagallery/delete' para volcar toda la base de datos o borrar todo el contenido de la tabla 'core_user_file'.
  • CVE-2022-42924: Forma LMS en su versión 3.1.0 y anteriores es vulnerable a una inyección SQL. La explotación de esta vulnerabilidad podría permitir a un atacante autenticado (con el rol de estudiante) realizar una inyección SQL en el parámetro 'dyn_filter' en la función 'appLms/ajax.adm_server.php?r=widget/userselector/getusertabledata' para volcar toda la base de datos.
  • CVE-2022-42925: existe una vulnerabilidad en la versión 3.1.0 y anteriores de Forma LMS que podría permitir a un atacante autentificado (con el rol de estudiante) escalar privilegios para subir un archivo Zip a través del componente de subida de plugins. La explotación de esta vulnerabilidad podría llevar a una inyección de código remota.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración

Listado de referencias