PT-2026-37035 · Elabftw · Elabftw
Bryanqb07
·
Publicado
2026-05-05
·
Atualizado
2026-05-12
·
CVE-2026-28510
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
eLabFTW versões anteriores a 5.4.2
Descrição
O fluxo de login neste caderno de laboratório eletrônico de código aberto não preserva de forma confiável o estado da autenticação de múltiplos fatores entre as etapas de autenticação. Um invasor com credenciais primárias válidas poderia, sob certas condições, usar um segredo TOTP (Time-based One-Time Password) controlado pelo invasor para ignorar o fator de autenticação adicional, resultando em acesso não autorizado à conta.
Recomendações
Atualizar para a versão 5.4.2.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Elabftw