CVE-2025-23113

Nome do Software Vulnerável e Versões Afetadas REDCap versão 14.9.6

Descrição Foi descoberta uma vulnerabilidade no REDCap, que possui uma falha CSRF no campo alert-title durante o upload de um arquivo CSV contendo uma lista de configurações de alerta. Um atacante pode enviar à vítima um arquivo CSV contendo um payload de injeção de HTML no campo alert-title. Assim que a vítima realiza o upload do arquivo, ela é automaticamente direcionada para uma página para visualizar os dados carregados. Se a vítima clicar no valor do alert-title, isso pode acionar uma solicitação de logout e encerrar sua sessão, ou redirecionar para um site de phishing. Este problema decorre da ausência de proteções CSRF na funcionalidade de logout.

Recomendações Para a versão 14.9.6 do REDCap, como solução temporária, considere desativar a funcionalidade de logout até que um patch esteja disponível. Restrinja o acesso ao valor do alert-title para minimizar o risco de exploração. Evite utilizar o parâmetro action=myprojects&logout=1 no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.