CVE-2024-25633 in eLabFTWthông tin

Tóm tắt

Bởi VulDB • 21/05/2026

eLabFTW là một sổ tay phòng thí nghiệm điện tử mã nguồn mở dành cho các phòng thí nghiệm nghiên cứu. Trong một hệ thống eLabFTW, việc tạo người dùng có thể bị cấm trừ khi được thực hiện bởi quản trị viên hệ thống, quản trị viên và các dịch vụ đáng tin cậy. Nếu quản trị viên được phép tạo người dùng mới (đây là cài đặt mặc định), lỗ hổng này cho phép bất kỳ người dùng nào tạo người dùng mới trong các nhóm mà họ là thành viên. Các người dùng mới được xác thực tự động và quản trị viên không nhận được thông báo. Điều này có thể cho phép một người dùng có quyền truy cập vĩnh viễn hoặc tạm thời vào một tài khoản người dùng hoặc khóa API duy trì sự hiện diện liên tục trong hệ thống eLabFTW. Ngoài ra, nó cho phép người dùng tạo một tài khoản riêng biệt dưới một tên khác và tạo ra lịch sử sửa đổi gây hiểu lầm. Không có đặc quyền bổ sung nào được cấp cho người dùng mới. Người dùng nên nâng cấp lên phiên bản 5.0.0 để nhận bản vá. Như một giải pháp tạm thời, việc vô hiệu hóa cả hai tùy chọn cho phép *quản trị viên* tạo người dùng sẽ cung cấp biện pháp giảm thiểu.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

08/02/2024

Tiết lộ

15/08/2024

Kiểm duyệt

được chấp nhận

EPSS

0.00242

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you know our Splunk app?

Download it now for free!