Plataforma
php
Componente
elabftw
Corrigido em
5.1.6
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no eLabFTW, um sistema de gerenciamento de laboratórios de pesquisa. Essa falha permite que um atacante injete tags HTML arbitrárias em páginas específicas, como 'experiments.php', 'database.php' e 'search.php'. A vulnerabilidade afeta versões do eLabFTW anteriores à 5.1.5 e foi publicada em 14 de outubro de 2024. A correção para esta vulnerabilidade está disponível na versão 5.1.5.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante injete código HTML malicioso nas páginas do eLabFTW. Embora a execução de JavaScript arbitrário seja mitigada por medidas de segurança, a injeção de HTML ainda pode ter um impacto significativo. Um atacante pode usar isso para exibir conteúdo enganoso, redirecionar usuários para sites maliciosos ou roubar informações confidenciais exibidas na página. A injeção ocorre em caixas de alerta vermelhas, tornando a injeção mais visível e potencialmente mais eficaz para enganar os usuários. Apesar da mitigação contra JavaScript, a capacidade de manipular a aparência e o conteúdo da página pode ser explorada para phishing ou para comprometer a confiança do usuário no sistema.
Esta vulnerabilidade foi divulgada publicamente em 14 de outubro de 2024. Não há informações disponíveis sobre a adição a KEV ou sobre a existência de um EPSS score. Atualmente, não há conhecimento público de um Proof of Concept (PoC) ativo ou de campanhas de exploração em andamento. A vulnerabilidade é considerada de baixo risco devido à mitigação contra a execução de JavaScript, mas a injeção de HTML ainda pode ser explorada.
Research labs and organizations utilizing eLabFTW for electronic lab notebooks are at risk. Specifically, deployments using older versions (≤ 5.1.5) are vulnerable. Shared hosting environments where multiple users share the same eLabFTW instance are also at increased risk, as a compromised user account could be leveraged to exploit the vulnerability.
• php: Examine access logs for requests to experiments.php, database.php, or search.php containing unusual HTML tags or patterns in the search query parameters.
grep -i 'alert|danger|script' /var/log/apache2/access.log | grep -i 'experiments.php|database.php|search.php'disclosure
Status do Exploit
EPSS
0.38% (percentil 59%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o eLabFTW para a versão 5.1.5 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais. Implementar regras em um Web Application Firewall (WAF) para filtrar entradas de pesquisa que contenham tags HTML suspeitas pode ajudar a reduzir o risco. Além disso, revise e reforce as políticas de segurança do aplicativo para evitar a injeção de HTML em outros pontos de entrada. Após a atualização, verifique se a vulnerabilidade foi corrigida tentando injetar HTML em campos de pesquisa e confirmando que o conteúdo injetado não é exibido na página.
Atualize eLabFTW para a versão 5.1.5 ou superior. Esta versão contém uma correção para a vulnerabilidade de injeção HTML. A atualização pode ser realizada através dos canais de atualização habituais do software.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-47826 is a Cross-Site Scripting (XSS) vulnerability in eLabFTW versions up to 5.1.5, allowing attackers to inject HTML into specific pages.
You are affected if you are using eLabFTW version 5.1.5 or earlier. Upgrade to 5.1.5 to resolve the vulnerability.
Upgrade eLabFTW to version 5.1.5 or later. Consider input validation and WAF rules as temporary mitigations.
There is currently no evidence of active exploitation, but the vulnerability is relatively easy to exploit.
Refer to the eLabFTW project's official website or security advisories for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.