CVE-2024-25633 in eLabFTWinformación

Resumen

por MITRE • 2024-08-15

eLabFTW es un cuaderno de laboratorio electrónico de código abierto para laboratorios de investigación. En un sistema eLabFTW, se podría no permitir la creación de usuarios excepto por parte de administradores del sistema, administradores y servicios confiables. Si a los administradores se les permite crear nuevos usuarios (que es la opción predeterminada), la vulnerabilidad permite a cualquier usuario crear nuevos usuarios en equipos de los que son miembros. Los nuevos usuarios se validan automáticamente y no se notifica a los administradores. Esto puede permitir que un usuario con acceso permanente o temporal a una cuenta de usuario o clave API mantenga la persistencia en un sistema eLabFTW. Además, permite al usuario crear una cuenta separada con un nombre diferente y generar historiales de revisiones engañosos. No se otorgan privilegios adicionales al nuevo usuario. Los usuarios deben actualizar a la versión 5.0.0 para recibir un parche. Como solución alternativa, deshabilitar ambas opciones que permiten a los *administradores* crear usuarios proporcionará una mitigación.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2024-02-08

Divulgación

2024-08-15

Moderación

aceptado

Artículo

VDB-274808

CPE

listo

EPSS

0.00242

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!