CVE-2021-43833

**Nome do software vulnerável e versões afetadas:

Versões do eLabFTW anteriores à 4.2.0

Descrição:

A vulnerabilidade permite que qualquer usuário autenticado obtenha acesso a contas arbitrárias ao definir um endereço de e-mail especialmente criado, afetando instâncias sem uma lista de domínios de e-mail explicitamente permitidos. Os administradores e os usuários visados não são notificados sobre as alterações nas contas. Um invasor precisa controlar uma conta para explorar essa vulnerabilidade. As configurações padrão exigem que os administradores validem as contas recém-criadas.

Recomendações:

Para versões anteriores à 4.2.0, atualize para pelo menos a versão 4.2.0 para resolver o problema.

Para usuários que não possam atualizar, habilite uma lista de domínios de e-mail permitidos no painel Sysconfig, na guia Segurança, para resolver completamente o problema.