CVE-2025-54064

Nome do Software Vulnerável e Versões Afetadas Versões do rucio-server 37.0.2, 35.0.1 e 32.0.1 Versões do rucio-ui 37.0.4, 35.0.1 e 32.0.2 Versões do rucio-webui 37.0.2, 35.1.1 e 32.0.1

Descrição O Rucio é um framework de software usado para organizar, gerenciar e acessar grandes volumes de dados científicos. O cabeçalho X-Rucio-Auth-Token, contendo credenciais do usuário, está incluído no formato de log de acesso do Apache para os componentes rucio-server, rucio-ui e rucio-webui. Isso expõe credenciais potencialmente sensíveis (Token interno do Rucio ou JWT) nos logs de acesso, especialmente se esses logs estiverem acessíveis a indivíduos não autorizados.

Recomendações Versões do rucio-server anteriores a 37.0.2, 35.0.1 e 32.0.1: Atualize para a versão 37.0.2, 35.0.1 ou 32.0.1. Versões do rucio-ui anteriores a 37.0.4, 35.0.1 e 32.0.2: Atualize para a versão 37.0.4, 35.0.1 ou 32.0.2. Versões do rucio-webui anteriores a 37.0.2, 35.1.1 e 32.0.1: Atualize para a versão 37.0.2, 35.1.1 ou 32.0.1. Como solução alternativa, atualize a variável logFormat para remover o X-Rucio-Auth-Token.