CVE-2026-25734

Nome do Software Vulnerável e Versões Afetadas Versões do Rucio anteriores a 35.8.3 Versões do Rucio anteriores a 38.5.4 Versões do Rucio anteriores a 39.3.1

Descrição O Rucio é um framework de software utilizado para organizar, gerenciar e acessar grandes volumes de dados científicos. Existe uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado nos metadados RSE da WebUI. Os atacantes podem injetar entradas maliciosas que são armazenadas pelo backend e, em seguida, exibidas na WebUI sem codificação adequada. Isso permite a execução de código JavaScript arbitrário no contexto da WebUI quando um usuário visualiza as páginas afetadas. Isso poderia potencialmente levar ao roubo de tokens de sessão ou ações não autorizadas. A vulnerabilidade afeta os atributos 'City', 'Country Name' e 'ISP' ao criar ou modificar RSEs por meio da interface Admin > Gerenciamento de RSE. Um atacante poderia utilizar uma requisição POST ao endpoint da API /proxy/rses/XSSTEST com um payload malicioso no corpo JSON para explorar essa vulnerabilidade. O impacto é ampliado pela ausência do flag HttpOnly em cookies de sessão e pela exposição de tokens de API em variáveis JavaScript. Um atacante poderia potencialmente criar uma nova identidade UserPass ou exfiltrar dados.

Recomendações Versões anteriores a 35.8.3 devem ser atualizadas para a versão 35.8.3 ou posterior. Versões anteriores a 38.5.4 devem ser atualizadas para a versão 38.5.4 ou posterior. Versões anteriores a 39.3.1 devem ser atualizadas para a versão 39.3.1 ou posterior. Garanta que todas as renderizações do lado do cliente de dados fornecidos pelo servidor ou controlados pelo usuário implementem escapamento HTML adequado antes da inserção no DOM. Implemente uma Política de Segurança de Conteúdo (CSP) estrita. Defina o flag HttpOnly em cookies de sessão. Evite expor tokens de API em variáveis acessíveis via JavaScript.