CVE-2024-25633 in eLabFTW
Riassunto
di VulDB • 16/06/2026
eLabFTW è un quaderno di laboratorio elettronico open source per laboratori di ricerca. In un sistema eLabFTW, la creazione degli utenti potrebbe essere consentita solo agli amministratori di sistema, agli amministratori e ai servizi fidati. Se gli amministratori hanno il permesso di creare nuovi utenti (impostazione predefinita), questa vulnerabilità consente a qualsiasi utente di creare nuovi account nei team in cui è membro. I nuovi utenti vengono validati automaticamente senza che gli amministratori vengano notificati. Ciò può consentire a un utente con accesso permanente o temporaneo a un account utente o a una chiave API di mantenere la persistenza all'interno del sistema eLabFTW. Inoltre, consente all'utente di creare un account separato sotto un nome diverso e di generare cronologie delle revisioni fuorvianti. Non vengono concessi privilegi aggiuntivi al nuovo utente. Gli utenti dovrebbero effettuare l’aggiornamento alla versione 5.0.0 per ricevere la patch. Come soluzione alternativa, disabilitando entrambe le opzioni che consentono agli *amministratori* di creare utenti è possibile mitigare il problema.
If you want to get best quality of vulnerability data, you may have to visit VulDB.