| タイトル | eLabFTWにおける情報漏えいに関する脆弱性 |
|---|---|
| 概要 | eLabFTWはオープンソースの電子ラボノートです。バージョン5.4.2以前では、一部のケースにおいて認証済みユーザーが数値参照/検索を実行すると、要求ユーザーが閲覧権限を持たないリソースのタイトルを含む結果が返される可能性がありました。公開される情報は限定的で(タイトルのみ)であり、基盤となる保護されたリソースのコンテンツへのアクセス試行は認可チェックにより引き続きブロックされます。バージョン5.4.2でこの問題は修正されています。# 影響範囲 タイトルのクロススコープ可視性が存在します。コンテンツレベルのアクセス制御の回避は確認されていません。# 前提条件 認証済みユーザーアカウントが必要です。標準的なアクセス権限以外の特別な権限は不要です。# 影響 機密情報がリソースタイトルに含まれている場合、不正な機密情報の開示を招く可能性があります。例としては、プロジェクト名、患者識別子、またはタイトルに埋め込まれたその他の規制対象情報が含まれることがあります。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月1日0:00 |
| 登録日 | 2026年6月5日10:48 |
| 最終更新日 | 2026年6月5日10:48 |
| CVSS3.0 : 警告 | |
| スコア | 4.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| eLabFTW |
| eLabFTW 5.4.2 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月05日] 掲載 |
2026年6月5日10:48 |
| 概要 | eLabFTW is an open source electronic lab notebook. Prior to version 5.4.2, in certain cases, an authenticated user performing a numeric reference/search can return results that include resources the requesting user is not authorized to view. The exposed information is limited (only the title). Attempts to access the underlying protected resource content remain blocked by authorization checks. Version 5.4.2 fixes the issue. # Affected Scope Cross-scope visibility of titles. # Preconditions An authenticated user account No special privileges required beyond standard access # Impact This may enable unauthorized disclosure of sensitive information if confidential data is included in resource titles. Examples could include project names, patient identifiers, or other regulated information embedded in titles. |
|---|---|
| 公表日 | 2026年6月2日8:16 |
| 登録日 | 2026年6月3日4:17 |
| 最終更新日 | 2026年6月4日2:06 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:elabftw:elabftw:*:*:*:*:*:*:*:* | 5.4.2 | ||||