eLabFTW is an open source electronic lab notebook manager for research teams. In versions of eLabFTW before 4.1.0, it allows attackers to bypass a brute-force protection mechanism by using many different forged PHPSESSID values in HTTP Cookie header. This issue has been addressed by implementing brute force login protection, as recommended by Owasp with Device Cookies. This mechanism will not impact users and will effectively thwart any brute-force attempts at guessing passwords. The only correct way to address this is to upgrade to version 4.1.0. Adding rate limitation upstream of the eLabFTW service is of course a valid option, with or without upgrading.
eLabFTW es un administrador de cuadernos de laboratorio electrónicos de código abierto para equipos de investigación. En las versiones de eLabFTW anteriores a 4.1.0, permite a atacantes omitir un mecanismo de protección de fuerza bruta mediante el uso de varios valores falsos de PHPSESSID en el encabezado de la cookie HTTP. Este problema ha sido solucionado al implementar una protección de inicio de sesión por fuerza bruta, tal y como recomienda Owasp con las Cookies de Dispositivo. Este mecanismo no afectará a usuarios y frustrará eficazmente cualquier intento de fuerza bruta para adivinar las contraseñas. La única forma correcta de abordar esto es actualizar a la versión 4.1.0. Añadir la limitación de la tasa del servicio eLabFTW es por supuesto una opción válida, con o sin actualización