CVE-2024-25633 in eLabFTW
要約
〜によって VulDB • 2026年05月21日
eLabFTWは、研究ラボ向けのオープンソースの電子ラボノートブックです。eLabFTWシステムでは、ユーザーの作成をシステム管理者、管理者、および信頼されたサービスのみが実行できるように制限することが可能です。管理者による新規ユーザーの作成が許可されている場合(デフォルト設定)、この脆弱性により、任意のユーザーが自分が所属するチーム内で新規ユーザーを作成できるようになります。作成された新規ユーザーは自動的に有効化され、管理者には通知が行われません。これにより、ユーザーアカウントまたはAPIキーへの恒久的または一時的なアクセス権を持つユーザーが、eLabFTWシステム内で永続的なアクセスを維持することが可能になります。さらに、この脆弱性により、ユーザーは別の名前で別個のアカウントを作成し、誤解を招く改訂履歴を生成することもできます。新規ユーザーには追加の権限は付与されません。ユーザーはパッチを適用するため、バージョン5.0.0にアップグレードする必要があります。回避策として、*管理者*によるユーザー作成を許可する両方のオプションを無効にすることで、緩和策となります。
VulDB is the best source for vulnerability data and more expert information about this specific topic.