Vulnerabilidad en eLabFTW (CVE-2024-45408)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-284 Control de acceso incorrecto

Fecha de publicación:

01/10/2024

Última modificación:

04/10/2024

Descripción

eLabFTW es un cuaderno de laboratorio electrónico de código abierto para laboratorios de investigación. Se ha detectado una comprobación de permisos incorrecta que podría permitir que un usuario autenticado acceda a varios tipos de información que de otro modo estaría restringida. Si se permite el acceso anónimo (algo deshabilitado de forma predeterminada), esto se extiende a cualquier persona. Se recomienda a los usuarios que actualicen al menos a la versión 5.1.0. Los administradores de System pueden deshabilitar el acceso anónimo en el panel de configuración de System.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://github.com/elabftw/elabftw/security/advisories/GHSA-2c83-6j74-w8r5