CVE-2024-25633

As versões 4.4.0 a 4.9.x do eLabFTW não são mencionadas explicitamente, mas, como a vulnerabilidade existe a partir da versão 4.4.0 e até a versão 5.0.0, pode-se simplificar para:

Não é necessário especificar as versões 4.4.0 a 4.9.x do eLabFTW; em vez disso, use:

versões do eLabFTW anteriores à 5.0.0

Uma vulnerabilidade no eLabFTW permite que usuários regulares criem novas contas validadas em sua equipe. Se o sistema tiver o acesso anônimo habilitado, um usuário não autenticado pode criar usuários regulares em qualquer equipe. Esse problema pode permitir que um usuário mantenha persistência no sistema, crie contas separadas com nomes diferentes e gere históricos de revisão enganosos. Nenhum privilégio adicional é concedido ao novo usuário.

Para versões anteriores à 5.0.0, atualize para a versão 5.0.0 para receber um patch.

Como solução alternativa temporária, considere desativar ambas as opções que permitem aos administradores criar usuários.

Além disso, desativar o acesso de usuários anônimos impedirá o acesso anônimo, incluindo o uso de chaves de acesso existentes.