CVE-2024-28100

eLabFTW is an open source electronic lab notebook for research labs. By uploading specially crafted files, a regular user can create a circumstance where a visitor's browser runs arbitrary JavaScript code in the context of the eLabFTW application. This can be triggered by the visitor viewing a list of experiments. Viewing this allows the malicious script to act on behalf of the visitor in any way, including the creation of API keys for persistence, or other options normally available to the user. If the user viewing the page has the sysadmin role in eLabFTW, the script can act as a sysadmin (including system configuration and extensive user management roles). Users are advised to upgrade to at least version 5.0.0. There are no known workarounds for this vulnerability.
Configurations

Configuration 1 (hide)

cpe:2.3:a:elabftw:elabftw:*:*:*:*:*:*:*:*

History

16 Sep 2024, 17:28

Type Values Removed Values Added
First Time Elabftw elabftw
Elabftw
CVSS v2 : unknown
v3 : 8.9
v2 : unknown
v3 : 5.4
References () https://github.com/elabftw/elabftw/security/advisories/GHSA-xp3v-w8cx-cqxc - () https://github.com/elabftw/elabftw/security/advisories/GHSA-xp3v-w8cx-cqxc - Vendor Advisory
CPE cpe:2.3:a:elabftw:elabftw:*:*:*:*:*:*:*:*

03 Sep 2024, 12:59

Type Values Removed Values Added
Summary
  • (es) eLabFTW es un cuaderno de laboratorio electrónico de código abierto para laboratorios de investigación. Al cargar archivos especialmente manipulados, un usuario normal puede crear una situación en la que el navegador de un visitante ejecute código JavaScript arbitrario en el contexto de la aplicación eLabFTW. Esto puede ser provocado por el visitante que ve una lista de experimentos. Al ver esto, el script malicioso puede actuar en nombre del visitante de cualquier manera, incluida la creación de claves API para la persistencia u otras opciones normalmente disponibles para el usuario. Si el usuario que ve la página tiene el rol de administrador de sistemas en eLabFTW, el script puede actuar como administrador de sistemas (incluida la configuración del sistema y roles de administración de usuarios extensos). Se recomienda a los usuarios que actualicen al menos a la versión 5.0.0. No se conocen workarounds para esta vulnerabilidad.

02 Sep 2024, 18:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-02 18:15

Updated : 2024-09-16 17:28


NVD link : CVE-2024-28100

Mitre link : CVE-2024-28100

CVE.ORG link : CVE-2024-28100


JSON object : View

Products Affected

elabftw

  • elabftw
CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')