CVE-2026-25733

Nome do Software Vulnerável e Versões Afetadas Versões do Rucio anteriores a 35.8.3, 38.5.4 e 39.3.1

Descrição O software Rucio contém uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado na função de Regras Personalizadas da WebUI. Atacantes podem injetar código malicioso por meio do campo comment, que é então armazenado e executado quando outros usuários visualizam as páginas afetadas. Isso permite a execução arbitrária de JavaScript no contexto da WebUI, potencialmente levando ao roubo de tokens de sessão ou ações não autorizadas. O problema ocorre porque a entrada controlada pelo atacante não é codificada adequadamente antes de ser renderizada na WebUI. A vulnerabilidade pode ser acionada ao criar uma nova regra e incluir uma carga maliciosa no campo comment. O script malicioso é então executado quando a regra é visualizada ou aprovada. O endpoint da API usado para criar a solicitação é /proxy/rules/. O parâmetro vulnerável é comment. Um atacante poderia potencialmente criar uma nova identidade UserPass ou exfiltrar dados.

Recomendações Versões anteriores a 35.8.3 devem ser atualizadas para a versão 35.8.3 ou superior. Versões anteriores a 38.5.4 devem ser atualizadas para a versão 38.5.4 ou superior. Versões anteriores a 39.3.1 devem ser atualizadas para a versão 39.3.1 ou superior. Garanta que todas as renderizações do lado do cliente de dados fornecidos pelo servidor ou controlados pelo usuário implementem o escapamento adequado de HTML antes da inserção no DOM. Implemente uma Política de Segurança de Conteúdo (CSP) rigorosa. Defina o flag HttpOnly em cookies de sessão. Evite expor tokens de API em variáveis acessíveis via JavaScript.