CVE-2025-23111

Nome do Software Vulnerável e Versões Afetadas REDCap versão 14.9.6

Descrição Foi descoberta uma falha que permite Injeção de HTML através do nome do campo da Pesquisa, expondo os usuários a um redirecionamento para um site de phishing. Um atacante pode explorar isso para enganar o usuário e induzi-lo a clicar no nome do campo, o que o redireciona para um site de phishing, permitindo que ações maliciosas sejam executadas sem o consentimento do usuário.

Recomendações Para a versão 14.9.6 do REDCap, considere desativar o recurso de nome do campo da Pesquisa até que um patch esteja disponível para prevenir ataques de Injeção de HTML. Restrinja o acesso ao módulo de Pesquisa para minimizar o risco de exploração. Evite usar o nome do campo da Pesquisa na versão afetada do REDCap até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.