在某些情况下未经授权授予任意团队的管理员权限(CVE-2024-25632)
CVE编号
CVE-2024-25632利用情况
暂无补丁情况
N/A披露时间
2024-10-01漏洞描述
eLabFTW是一个面向研究实验室的开源电子实验室笔记本。在eLabFTW的上下文中,管理员是具有管理其所属团队中的用户和内容的特定权限的用户帐户。一个用户可能是一个团队的管理员,而在另一个团队中是普通用户。漏洞允许普通用户在合理的配置下成为其所在团队的管理员。此外,在eLabFTW v5.0.0之后的版本中,漏洞可能会使最初未经验证的普通用户获得对任意团队的行政管理权限。该漏洞不会影响系统管理员状态。用户应升级到版本5.1.0。建议系统管理员关闭本地用户注册功能,关闭saml_team_create功能,并禁止管理员导入用户到团队中,除非有严格的需求。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/elabftw/elabftw/security/advisories/GHSA-6m7p-gh9f-5mgg |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-266 | 特权授予不正确 |
| CWE-842 | 将用户置入不正确的用户组 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论