CVE-2024-25633 in eLabFTWinformazioni

Riassunto

di VulDB • 16/06/2026

eLabFTW è un quaderno di laboratorio elettronico open source per laboratori di ricerca. In un sistema eLabFTW, la creazione degli utenti potrebbe essere consentita solo agli amministratori di sistema, agli amministratori e ai servizi fidati. Se gli amministratori hanno il permesso di creare nuovi utenti (impostazione predefinita), questa vulnerabilità consente a qualsiasi utente di creare nuovi account nei team in cui è membro. I nuovi utenti vengono validati automaticamente senza che gli amministratori vengano notificati. Ciò può consentire a un utente con accesso permanente o temporaneo a un account utente o a una chiave API di mantenere la persistenza all'interno del sistema eLabFTW. Inoltre, consente all'utente di creare un account separato sotto un nome diverso e di generare cronologie delle revisioni fuorvianti. Non vengono concessi privilegi aggiuntivi al nuovo utente. Gli utenti dovrebbero effettuare l’aggiornamento alla versione 5.0.0 per ricevere la patch. Come soluzione alternativa, disabilitando entrambe le opzioni che consentono agli *amministratori* di creare utenti è possibile mitigare il problema.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

08/02/2024

Divulgazione

15/08/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00242

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!