Forma LMS学习管理系统存在多个SQL注入漏洞
字数 939 2025-08-18 11:39:08

Forma LMS学习管理系统SQL注入漏洞分析报告

漏洞概述

Forma LMS学习管理系统存在4个SQL注入漏洞,由Cisco Talos安全研究团队发现并披露。这些漏洞允许经过身份验证的攻击者执行任意SQL命令,可能导致数据库信息泄露、用户凭据窃取,甚至在某些配置下访问底层操作系统。

受影响版本

Forma LMS 2.2.1版本

漏洞详情

CVE-2019-5111

  • 位置: /appLms/ajax.server.php文件
  • 参数: filter_cat
  • 类型: SQL注入
  • 影响: 允许执行任意SQL命令

CVE-2019-5112

  • 位置: /appLms/ajax.server.php文件
  • 参数: filter_status
  • 类型: SQL注入
  • 影响: 允许执行任意SQL命令

CVE-2019-5110

  • 位置: /appCore/index.php文件
  • 参数: users
  • 类型: SQL注入
  • 影响: 允许执行任意SQL命令

CVE-2019-5109

  • 位置: ajax.adm_server.php文件
  • 参数: dir
  • 类型: SQL注入
  • 影响: 允许执行任意SQL命令

漏洞利用条件

  1. 攻击者需要具备有效的身份认证凭证
  2. 能够向目标系统发送特制的web请求

漏洞危害

成功利用这些漏洞可能导致:

  • 数据库信息泄露
  • 用户凭据窃取
  • 在某些系统配置下,可能访问底层操作系统

CVSS评分

所有漏洞的CVSS v3评分均为7.4(高危)

发现者

Cisco安全专家Yuri Kramarz

修复建议

  1. 升级到Forma LMS的最新版本
  2. 实施输入验证和参数化查询
  3. 应用最小权限原则,限制数据库账户权限
  4. 监控和审计数据库查询日志

参考链接

  1. Cisco Talos漏洞公告
  2. TALOS-2019-0904
  3. TALOS-2019-0903
  4. TALOS-2019-0902

关于Forma LMS

Forma LMS是一个开源的、基于web的在线学习平台,由意大利Forma Association开发维护。该系统帮助企业为员工创建、提供和管理在线培训课程。Forma LMS曾多次获得"最佳在线学习开源解决方案"奖项。

Forma LMS学习管理系统SQL注入漏洞分析报告 漏洞概述 Forma LMS学习管理系统存在4个SQL注入漏洞,由Cisco Talos安全研究团队发现并披露。这些漏洞允许经过身份验证的攻击者执行任意SQL命令,可能导致数据库信息泄露、用户凭据窃取,甚至在某些配置下访问底层操作系统。 受影响版本 Forma LMS 2.2.1版本 漏洞详情 CVE-2019-5111 位置 : /appLms/ajax.server.php 文件 参数 : filter_cat 类型 : SQL注入 影响 : 允许执行任意SQL命令 CVE-2019-5112 位置 : /appLms/ajax.server.php 文件 参数 : filter_status 类型 : SQL注入 影响 : 允许执行任意SQL命令 CVE-2019-5110 位置 : /appCore/index.php 文件 参数 : users 类型 : SQL注入 影响 : 允许执行任意SQL命令 CVE-2019-5109 位置 : ajax.adm_server.php 文件 参数 : dir 类型 : SQL注入 影响 : 允许执行任意SQL命令 漏洞利用条件 攻击者需要具备有效的身份认证凭证 能够向目标系统发送特制的web请求 漏洞危害 成功利用这些漏洞可能导致: 数据库信息泄露 用户凭据窃取 在某些系统配置下,可能访问底层操作系统 CVSS评分 所有漏洞的CVSS v3评分均为7.4(高危) 发现者 Cisco安全专家Yuri Kramarz 修复建议 升级到Forma LMS的最新版本 实施输入验证和参数化查询 应用最小权限原则,限制数据库账户权限 监控和审计数据库查询日志 参考链接 Cisco Talos漏洞公告 TALOS-2019-0904 TALOS-2019-0903 TALOS-2019-0902 关于Forma LMS Forma LMS是一个开源的、基于web的在线学习平台,由意大利Forma Association开发维护。该系统帮助企业为员工创建、提供和管理在线培训课程。Forma LMS曾多次获得"最佳在线学习开源解决方案"奖项。