CVE-2024-47826

Versões do eLabFTW anteriores à 5.1.5

Uma vulnerabilidade no eLabFTW permite que um invasor insira tags HTML arbitrárias nas páginas “experiments.php” (modo de exibição), “database.php” (modo de exibição) ou “search.php”. Isso é feito fornecendo código HTML na string de pesquisa estendida, que será então exibida de volta ao usuário na mensagem de erro. O HTML injetado aparecerá em uma caixa vermelha de “alerta/perigo” e fará parte de uma mensagem de erro. Devido a outras medidas de segurança, não é possível executar JavaScript arbitrário a partir desse ataque, tornando-o um problema de baixo impacto.

Para versões anteriores à 5.1.5, atualize para pelo menos a versão 5.1.5 para receber um patch. Como solução temporária, considere restringir o uso da string de pesquisa estendida nas páginas afetadas até que um patch esteja disponível. Evite usar a string de pesquisa estendida nas páginas “experiments.php”, “database.php” e “search.php” até que o problema seja resolvido.