在某些情况下未经授权授予任意团队的管理员权限(CVE-2024-25632)

admin 2024-10-03 15:44:36 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
在某些情况下未经授权授予任意团队的管理员权限(CVE-2024-25632)

CVE编号

CVE-2024-25632

利用情况

暂无

补丁情况

N/A

披露时间

2024-10-01
漏洞描述
eLabFTW是一个面向研究实验室的开源电子实验室笔记本。在eLabFTW的上下文中,管理员是具有管理其所属团队中的用户和内容的特定权限的用户帐户。一个用户可能是一个团队的管理员,而在另一个团队中是普通用户。漏洞允许普通用户在合理的配置下成为其所在团队的管理员。此外,在eLabFTW v5.0.0之后的版本中,漏洞可能会使最初未经验证的普通用户获得对任意团队的行政管理权限。该漏洞不会影响系统管理员状态。用户应升级到版本5.1.0。建议系统管理员关闭本地用户注册功能,关闭saml_team_create功能,并禁止管理员导入用户到团队中,除非有严格的需求。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/elabftw/elabftw/security/advisories/GHSA-6m7p-gh9f-5mgg
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
CWE-266 特权授予不正确
CWE-842 将用户置入不正确的用户组
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-25658利用情况 暂无补丁情况 N/A披露时间 2024-10-01漏洞描述Infinera TNMS(Transce
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-25661利用情况 暂无补丁情况 N/A披露时间 2024-10-01漏洞描述Infinera的TNMS(Transce
评论:0   参与:  0