CVE-2024-52586

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-52586
eLabFTW is an open source electronic lab notebook for research labs. A vulnerability has been found starting in version 4.6.0 and prior to version 5.1.0 that allows an attacker to bypass eLabFTW's built-in multifactor authentication mechanism. An attacker who can authenticate locally (by knowing or guessing the password of a user) can thus log in regardless of MFA requirements. This does not affect MFA that are performed by single sign-on services. Users are advised to upgrade to at least version 5.1.9 to receive a fix.

5.4 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 2.5

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://github.com/elabftw/elabftw/security/advisories/GHSA-pvxr-39g3-m28c Vendor Advisory Mitigation
Configurations

Configuration 1 (hide)

cpe:2.3:a:elabftw:elabftw:*:*:*:*:*:*:*:*
History

15 Aug 2025, 18:43

Type Values Removed Values Added
CPE cpe:2.3:a:elabftw:elabftw:*:*:*:*:*:*:*:*
References () https://github.com/elabftw/elabftw/security/advisories/GHSA-pvxr-39g3-m28c - () https://github.com/elabftw/elabftw/security/advisories/GHSA-pvxr-39g3-m28c - Vendor Advisory, Mitigation
First Time Elabftw elabftw
Elabftw
Summary
  • (es) eLabFTW es un cuaderno de laboratorio electrónico de código abierto para laboratorios de investigación. Se ha encontrado una vulnerabilidad a partir de la versión 4.6.0 y anteriores a la versión 5.1.0 que permite a un atacante eludir el mecanismo de autenticación multifactor integrado de eLabFTW. Un atacante que pueda autenticarse localmente (conociendo o adivinando la contraseña de un usuario) puede iniciar sesión independientemente de los requisitos de autenticación multifactor. Esto no afecta a la autenticación multifactor que se realiza mediante servicios de inicio de sesión único. Se recomienda a los usuarios que actualicen al menos a la versión 5.1.9 para recibir una solución.

09 Dec 2024, 19:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-12-09 19:15

Updated : 2025-08-15 18:43

NVD link : CVE-2024-52586

Mitre link : CVE-2024-52586

CVE.ORG link : CVE-2024-52586

JSON object : View

Products Affected

elabftw

  • elabftw
CWE
CWE-288

Authentication Bypass Using an Alternate Path or Channel

CWE-303

Incorrect Implementation of Authentication Algorithm