CVE-2026-25138

Nome do Software Vulnerável e Versões Afetadas Versões do Rucio anteriores a 35.8.3 Versões do Rucio anteriores a 38.5.4 Versões do Rucio anteriores a 39.3.1

Descrição O endpoint de login da WebUI do Rucio, /ui/login, retorna mensagens de erro diferentes com base na existência do nome de usuário fornecido. Isso permite que atacantes não autenticados enumerem nomes de usuário válidos. Especificamente, um nome de usuário inexistente resulta em uma mensagem de erro indicando que não há conta associada, enquanto um nome de usuário existente com senha incorreta produz um erro de autenticação diferente. Essa diferença de comportamento permite que atacantes determinem nomes de usuário válidos. A exploração deste problema pode permitir tentativas direcionadas de adivinhação de senhas, ataques de credential stuffing ou engenharia social.

Recomendações Para versões anteriores a 35.8.3, retornar uma mensagem genérica de falha de autenticação para todos os erros de login, independentemente de o nome de usuário existir ou não. Para versões anteriores a 38.5.4, retornar uma mensagem genérica de falha de autenticação para todos os erros de login, independentemente de o nome de usuário existir ou não. Para versões anteriores a 39.3.1, retornar uma mensagem genérica de falha de autenticação para todos os erros de login, independentemente de o nome de usuário existir ou não.