CVE-2024-25633 in eLabFTW
Zusammenfassung
von VulDB • 17.05.2026
eLabFTW ist ein Open-Source-elektronisches Laborbuch für Forschungslabore. In einem eLabFTW-System kann die Benutzererstellung auf Systemadministratoren, Administratoren und vertrauenswürdige Dienste beschränkt werden. Wenn Administratoren die Erstellung neuer Benutzer zulassen (was der Standard ist), ermöglicht die Schwachstelle jedem Benutzer, neue Benutzer in Teams zu erstellen, denen er angehört. Die neuen Benutzer werden automatisch validiert, und Administratoren werden nicht benachrichtigt. Dies kann es einem Benutzer mit dauerhaftem oder temporärem Zugriff auf ein Benutzerkonto oder einen API-Schlüssel ermöglichen, die Persistenz in einem eLabFTW-System aufrechtzuerhalten. Darüber hinaus ermöglicht es dem Benutzer, separate Konten unter einem anderen Namen zu erstellen und irreführende Versionshistorien zu erzeugen. Den neuen Benutzern werden keine zusätzlichen Berechtigungen gewährt. Benutzer sollten auf Version 5.0.0 aktualisieren, um einen Patch zu erhalten. Als Workaround bietet die Deaktivierung beider Optionen, die *Administratoren* die Benutzererstellung ermöglichen, eine Minderung des Risikos.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.