D-Woosley

**Nome do Software Vulnerável e Versões Afetadas** Versões do Rucio anteriores a 35.8.3 Versões do Rucio anteriores a 38.5.4 Versões do Rucio anteriores a 39.3.1 **Descrição** O software Rucio contém uma vulnerabilidade de Cross-site Scripting (XSS) refletido na renderização da ExceptionMessage do erro 500 da WebUI. Isso poderia permitir que atacantes roubassem tokens de sessão de login de usuários que acessassem uma URL especialmente criada. O problema ocorre porque a `ExceptionMessage`, que pode conter entrada controlada pelo usuário, é renderizada como HTML não codificado. O código do servidor em `common.py` (especificamente `error headers`, ` error response` e `generate http error flask`) insere a `ExceptionMessage` nos cabeçalhos da resposta e no corpo JSON. O cliente da WebUI então injeta esse texto no Modelo de Objeto de Documento (DOM) usando métodos inseguros como `jQuery.html(...)` em arquivos como `rule.js`, `request rule.js` e `list rules.js`, permitindo XSS refletido. Um atacante pode criar uma URL contendo um payload malicioso, como uma tag `<img src=x onerror=alert(document.cookie)>`, que será executada quando um usuário acessar a URL. Isso permite que o atacante potencialmente roube tokens de sessão devido à ausência do atributo HttpOnly no cookie de sessão e à falta de uma Content Security Policy (CSP). A exploração pode ocorrer por meio do parâmetro account nas URLs ou durante erros na criação de atributos de chave de conta. Um atacante pode potencialmente criar uma nova identidade UserPass para a conta root. **Recomendações** Para versões anteriores a 35.8.3, altere todas as inserções de texto fornecido pelo servidor no lado cliente de `.html(...)` para `.text()` ou crie nós de texto/codifique o HTML antes da inserção. Para versões anteriores a 38.5.4, altere todas as inserções de texto fornecido pelo servidor no lado cliente de `.html(...)` para `.text()` ou crie nós de texto/codifique o HTML antes da inserção. Para versões anteriores a 39.3.1, altere todas as inserções de texto fornecido pelo servidor no lado cliente de `.html(...)` para `.text()` ou crie nós de texto/codifique o HTML antes da inserção. Considere adicionar uma Content Security Policy (CSP) para mitigar a execução de scripts externos. Defina o flag HTTPOnly para cookies de sessão. Evite definir o token da API em uma variável JavaScript.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Rucio anteriores a 35.8.3 Versões do Rucio anteriores a 38.5.4 Versões do Rucio anteriores a 39.3.1 **Descrição** O endpoint de login da WebUI do Rucio, `/ui/login`, retorna mensagens de erro diferentes com base na existência do nome de usuário fornecido. Isso permite que atacantes não autenticados enumerem nomes de usuário válidos. Especificamente, um nome de usuário inexistente resulta em uma mensagem de erro indicando que não há conta associada, enquanto um nome de usuário existente com senha incorreta produz um erro de autenticação diferente. Essa diferença de comportamento permite que atacantes determinem nomes de usuário válidos. A exploração deste problema pode permitir tentativas direcionadas de adivinhação de senhas, ataques de credential stuffing ou engenharia social. **Recomendações** Para versões anteriores a 35.8.3, retornar uma mensagem genérica de falha de autenticação para todos os erros de login, independentemente de o nome de usuário existir ou não. Para versões anteriores a 38.5.4, retornar uma mensagem genérica de falha de autenticação para todos os erros de login, independentemente de o nome de usuário existir ou não. Para versões anteriores a 39.3.1, retornar uma mensagem genérica de falha de autenticação para todos os erros de login, independentemente de o nome de usuário existir ou não.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Rucio anteriores a 35.8.3, 38.5.4 e 39.3.1 **Descrição** O software Rucio contém uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado na função de Regras Personalizadas da WebUI. Atacantes podem injetar código malicioso por meio do campo `comment`, que é então armazenado e executado quando outros usuários visualizam as páginas afetadas. Isso permite a execução arbitrária de JavaScript no contexto da WebUI, potencialmente levando ao roubo de tokens de sessão ou ações não autorizadas. O problema ocorre porque a entrada controlada pelo atacante não é codificada adequadamente antes de ser renderizada na WebUI. A vulnerabilidade pode ser acionada ao criar uma nova regra e incluir uma carga maliciosa no campo `comment`. O script malicioso é então executado quando a regra é visualizada ou aprovada. O endpoint da API usado para criar a solicitação é `/proxy/rules/`. O parâmetro vulnerável é `comment`. Um atacante poderia potencialmente criar uma nova identidade UserPass ou exfiltrar dados. **Recomendações** Versões anteriores a 35.8.3 devem ser atualizadas para a versão 35.8.3 ou superior. Versões anteriores a 38.5.4 devem ser atualizadas para a versão 38.5.4 ou superior. Versões anteriores a 39.3.1 devem ser atualizadas para a versão 39.3.1 ou superior. Garanta que todas as renderizações do lado do cliente de dados fornecidos pelo servidor ou controlados pelo usuário implementem o escapamento adequado de HTML antes da inserção no DOM. Implemente uma Política de Segurança de Conteúdo (CSP) rigorosa. Defina o flag HttpOnly em cookies de sessão. Evite expor tokens de API em variáveis acessíveis via JavaScript.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Rucio anteriores a 35.8.3 Versões do Rucio anteriores a 38.5.4 Versões do Rucio anteriores a 39.3.1 **Descrição** O Rucio é um framework de software utilizado para organizar, gerenciar e acessar grandes volumes de dados científicos. Existe uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado nos metadados RSE da WebUI. Os atacantes podem injetar entradas maliciosas que são armazenadas pelo backend e, em seguida, exibidas na WebUI sem codificação adequada. Isso permite a execução de código JavaScript arbitrário no contexto da WebUI quando um usuário visualiza as páginas afetadas. Isso poderia potencialmente levar ao roubo de tokens de sessão ou ações não autorizadas. A vulnerabilidade afeta os atributos 'City', 'Country Name' e 'ISP' ao criar ou modificar RSEs por meio da interface Admin > Gerenciamento de RSE. Um atacante poderia utilizar uma requisição POST ao endpoint da API `/proxy/rses/XSSTEST` com um payload malicioso no corpo JSON para explorar essa vulnerabilidade. O impacto é ampliado pela ausência do flag HttpOnly em cookies de sessão e pela exposição de tokens de API em variáveis JavaScript. Um atacante poderia potencialmente criar uma nova identidade UserPass ou exfiltrar dados. **Recomendações** Versões anteriores a 35.8.3 devem ser atualizadas para a versão 35.8.3 ou posterior. Versões anteriores a 38.5.4 devem ser atualizadas para a versão 38.5.4 ou posterior. Versões anteriores a 39.3.1 devem ser atualizadas para a versão 39.3.1 ou posterior. Garanta que todas as renderizações do lado do cliente de dados fornecidos pelo servidor ou controlados pelo usuário implementem escapamento HTML adequado antes da inserção no DOM. Implemente uma Política de Segurança de Conteúdo (CSP) estrita. Defina o flag HttpOnly em cookies de sessão. Evite expor tokens de API em variáveis acessíveis via JavaScript.

**Nome do Software Vulnerável e Versões Afetadas** Rucio versões anteriores a 35.8.3, 38.5.4 e 39.3.1 **Descrição** O Rucio é um framework de software utilizado para organizar, gerenciar e acessar grandes volumes de dados científicos. Existe uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no campo Nome da Identidade da WebUI. Atacantes podem injetar código malicioso que é salvo pelo backend e exibido na WebUI sem codificação adequada. Isso permite a execução de código JavaScript arbitrário no contexto da WebUI quando um usuário visualiza as páginas afetadas, podendo levar ao roubo de tokens de sessão ou ações não autorizadas. A vulnerabilidade é acionada ao enviar um payload malicioso por meio de uma requisição POST para o endpoint da API `/proxy/accounts/{account}/identities`, especificamente no parâmetro `identity`. O payload é armazenado e executado ao visualizar os detalhes da conta. Um atacante pode potencialmente criar uma nova identidade UserPass root ou exfiltrar dados. **Recomendações** Versões anteriores a 35.8.3 devem ser atualizadas para a versão 35.8.3 ou posterior. Versões anteriores a 38.5.4 devem ser atualizadas para a versão 38.5.4 ou posterior. Versões anteriores a 39.3.1 devem ser atualizadas para a versão 39.3.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Rucio anteriores a 35.8.3, 38.5.4 e 39.3.1 **Descrição** O Rucio é um framework de software utilizado para organizar, gerenciar e acessar grandes volumes de dados científicos. Existe uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no atributo RSE personalizado da WebUI. Atacantes podem injetar entradas maliciosas que são salvas pelo backend e, em seguida, exibidas na WebUI sem codificação adequada. Isso permite a execução de código JavaScript arbitrário no contexto da WebUI quando um usuário visualiza as páginas afetadas, possivelmente levando ao roubo de tokens de sessão ou ações não autorizadas. A vulnerabilidade é acionada ao criar um atributo RSE personalizado por meio do caminho Admin > Gerenciamento de RSE > NOME DO RSE > Adicionar Atributo e, em seguida, visualizar o RSE por Admin > Gerenciamento de RSE > NOME DO RSE . O ataque utiliza uma requisição POST para o endpoint `/proxy/rses/WEB1/attr/XSS` com um payload no corpo da requisição, como `{"value":"<script>alert('XSS')</script>"}`. Um atacante poderia explorar isso para criar uma nova identidade UserPass ou exfiltrar dados. O impacto é ampliado pela ausência do flag HttpOnly em cookies de sessão e pela exposição de tokens de API em variáveis JavaScript. **Recomendações** Versões anteriores a 35.8.3 devem ser atualizadas para a versão 35.8.3 ou posterior. Versões anteriores a 38.5.4 devem ser atualizadas para a versão 38.5.4 ou posterior. Versões anteriores a 39.3.1 devem ser atualizadas para a versão 39.3.1 ou posterior.