製品・ソフトウェアに関する情報

JVN脆弱性詳細

eLabFTWにおける情報漏えいに関する脆弱性

Title	eLabFTWにおける情報漏えいに関する脆弱性
Summary	eLabFTWはオープンソースの電子ラボノートです。バージョン5.4.2以前では、一部のケースにおいて認証済みユーザーが数値参照／検索を実行すると、要求ユーザーが閲覧権限を持たないリソースのタイトルを含む結果が返される可能性がありました。公開される情報は限定的で（タイトルのみ）であり、基盤となる保護されたリソースのコンテンツへのアクセス試行は認可チェックにより引き続きブロックされます。バージョン5.4.2でこの問題は修正されています。# 影響範囲タイトルのクロススコープ可視性が存在します。コンテンツレベルのアクセス制御の回避は確認されていません。# 前提条件認証済みユーザーアカウントが必要です。標準的なアクセス権限以外の特別な権限は不要です。# 影響機密情報がリソースタイトルに含まれている場合、不正な機密情報の開示を招く可能性があります。例としては、プロジェクト名、患者識別子、またはタイトルに埋め込まれたその他の規制対象情報が含まれることがあります。
Possible impacts	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 1, 2026, midnight
Registration Date	June 5, 2026, 10:48 a.m.
Last Update	June 5, 2026, 10:48 a.m.

CVSS3.0 : 警告
Score	4.3
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Affected System

eLabFTW

eLabFTW 5.4.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-28511	https://www.cve.org/CVERecord?id=CVE-2026-28511
National Vulnerability Database (NVD)
2	CVE-2026-28511	https://nvd.nist.gov/vuln/detail/CVE-2026-28511

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	Name	URL
GitHub
1	Entry title leakage through autocompletion search Advisory elabftw/elabftw GitHub	https://github.com/elabftw/elabftw/security/advisories/GHSA-wm4r-p2jg-2mj3

Change Log

No	Changed Details	Date of change
1	[2026年06月05日] 掲載	June 5, 2026, 10:48 a.m.

NVD Vulnerability Information

CVE-2026-28511

Summary	eLabFTW is an open source electronic lab notebook. Prior to version 5.4.2, in certain cases, an authenticated user performing a numeric reference/search can return results that include resources the requesting user is not authorized to view. The exposed information is limited (only the title). Attempts to access the underlying protected resource content remain blocked by authorization checks. Version 5.4.2 fixes the issue. # Affected Scope Cross-scope visibility of titles. No confirmed bypass of content-level access controls # Preconditions An authenticated user account No special privileges required beyond standard access # Impact This may enable unauthorized disclosure of sensitive information if confidential data is included in resource titles. Examples could include project names, patient identifiers, or other regulated information embedded in titles.
Publication Date	June 2, 2026, 8:16 a.m.
Registration Date	June 3, 2026, 4:17 a.m.
Last Update	June 4, 2026, 2:06 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:elabftw:elabftw::::::::					5.4.2

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/elabftw/elabftw/security/advisories/GHSA-wm4r-p2jg-2mj3	security-advisories@github.com

Common Vulnerabilities List