Saykino

**Name of the Vulnerable Software and Affected Versions** Totara LMS versões anteriores a 19.1.6 **Description** Existe um problema onde um invasor pode injetar código HTML malicioso em uma mensagem e enviá-la para todos os usuários do aplicativo. Isso pode levar à execução do código no navegador da vítima, resultando potencialmente em sequestro de sessão e execução de comandos. **Recommendations** Atualize para uma versão posterior à 19.1.5.

**Name of the Vulnerable Software and Affected Versions** Totara LMS versões anteriores a 19.1.6 **Description** Um Controle de Acesso Incorreto permite que o código da página de login seja manipulado para revelar o formulário de login. Isso pode ser combinado com a ausência de limite de taxa (rate-limit) no formulário de login para facilitar um ataque de força bruta, que é um método de tentativa e erro usado para adivinhar credenciais de login. **Recommendations** Atualize para uma versão posterior a 19.1.5.

**Name of the Vulnerable Software and Affected Versions** Totara LMS versões anteriores a 19.1.5 **Description** A API de recuperação de senha não implementa a limitação de taxa (rate limiting) para o endereço de e-mail de destino, o que permite um ataque de Email Bombing. Email Bombing é uma técnica onde um grande volume de e-mails é enviado para um único endereço para sobrecarregar o destinatário ou o servidor de e-mail. **Recommendations** Atualize para uma versão posterior a 19.1.5. Como medida paliativa temporária, restrinja o acesso ao endpoint da API de recuperação de senha para minimizar o risco de exploração.