CVE-2022-31007

Versões do eLabFTW anteriores à 4.3.0

A vulnerabilidade permite que um usuário autenticado com função de administrador em uma equipe atribua a si mesmo privilégios de administrador de sistema dentro do aplicativo ou crie uma nova conta de administrador de sistema. No contexto do eLabFTW, um administrador é uma conta de usuário com certos privilégios para gerenciar usuários e conteúdo na(s) equipe(s) a que está designado. Uma conta de administrador de sistema pode gerenciar todas as contas e equipes, além de editar configurações de todo o sistema dentro do aplicativo. O impacto não é considerado alto, pois requer que o invasor tenha acesso a uma conta de administrador. Contas de usuário comuns não podem explorar essa vulnerabilidade para obter direitos de administrador.

Para versões anteriores à 4.3.0, atualize para a versão 4.3.0 para resolver o problema.

Como solução alternativa temporária, considere remover a capacidade dos administradores de criar contas até que o problema seja resolvido.