PT-2021-23965 · Elabftw · Elabftw
Anargam
+1
·
Publicado
2021-12-15
·
Atualizado
2021-12-21
·
CVE-2021-43834
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do eLabFTW anteriores à 4.2.0
Descrição:
A vulnerabilidade permite que um invasor se autentique como um usuário existente, caso esse usuário tenha sido criado utilizando uma opção de autenticação de logon único, como LDAP ou SAML. Isso afeta instâncias nas quais LDAP ou SAML são utilizados para autenticação, em vez do mecanismo de senha local.
Recomendações:
Para versões anteriores à 4.2.0, atualize para pelo menos a versão 4.2.0 para resolver o problema. Como solução alternativa temporária, considere restringir o uso de opções de autenticação de logon único até que a atualização seja aplicada.
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Elabftw