CVE-2024-28100

Versões do eLabFTW anteriores à 5.0.0

A vulnerabilidade permite que um usuário comum crie uma situação em que o navegador de um visitante execute código JavaScript arbitrário no contexto do aplicativo eLabFTW, por meio do upload de arquivos especialmente criados para esse fim. Isso pode ser desencadeado quando o visitante visualiza uma lista de experimentos, permitindo que o script malicioso atue em nome do visitante, incluindo a criação de chaves de API para persistência ou outras opções normalmente disponíveis para o usuário. Se o usuário que visualiza a página tiver a função de administrador de sistema no eLabFTW, o script pode agir como um administrador de sistema, incluindo funções de configuração do sistema e gerenciamento abrangente de usuários.

Para versões anteriores à 5.0.0, atualize para pelo menos a versão 5.0.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a arquivos enviados e limitar as permissões do usuário para minimizar o risco de exploração. Evite usar o recurso de visualização de experimentos do aplicativo até que o problema seja resolvido.