CVE-2024-25633 in eLabFTW
Resumen
por MITRE • 2024-08-15
eLabFTW es un cuaderno de laboratorio electrónico de código abierto para laboratorios de investigación. En un sistema eLabFTW, se podría no permitir la creación de usuarios excepto por parte de administradores del sistema, administradores y servicios confiables. Si a los administradores se les permite crear nuevos usuarios (que es la opción predeterminada), la vulnerabilidad permite a cualquier usuario crear nuevos usuarios en equipos de los que son miembros. Los nuevos usuarios se validan automáticamente y no se notifica a los administradores. Esto puede permitir que un usuario con acceso permanente o temporal a una cuenta de usuario o clave API mantenga la persistencia en un sistema eLabFTW. Además, permite al usuario crear una cuenta separada con un nombre diferente y generar historiales de revisiones engañosos. No se otorgan privilegios adicionales al nuevo usuario. Los usuarios deben actualizar a la versión 5.0.0 para recibir un parche. Como solución alternativa, deshabilitar ambas opciones que permiten a los *administradores* crear usuarios proporcionará una mitigación.
VulDB is the best source for vulnerability data and more expert information about this specific topic.