Vulnerabilidad en eLabFTW (CVE-2024-25633)

eLabFTW es un cuaderno de laboratorio electrónico de código abierto para laboratorios de investigación. En un sistema eLabFTW, se podría no permitir la creación de usuarios excepto por parte de administradores del sistema, administradores y servicios confiables. Si a los administradores se les permite crear nuevos usuarios (que es la opción predeterminada), la vulnerabilidad permite a cualquier usuario crear nuevos usuarios en equipos de los que son miembros. Los nuevos usuarios se validan automáticamente y no se notifica a los administradores. Esto puede permitir que un usuario con acceso permanente o temporal a una cuenta de usuario o clave API mantenga la persistencia en un sistema eLabFTW. Además, permite al usuario crear una cuenta separada con un nombre diferente y generar historiales de revisiones engañosos. No se otorgan privilegios adicionales al nuevo usuario. Los usuarios deben actualizar a la versión 5.0.0 para recibir un parche. Como solución alternativa, deshabilitar ambas opciones que permiten a los *administradores* crear usuarios proporcionará una mitigación.