CVE-2026-25735

Nome do Software Vulnerável e Versões Afetadas Rucio versões anteriores a 35.8.3, 38.5.4 e 39.3.1

Descrição O Rucio é um framework de software utilizado para organizar, gerenciar e acessar grandes volumes de dados científicos. Existe uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no campo Nome da Identidade da WebUI. Atacantes podem injetar código malicioso que é salvo pelo backend e exibido na WebUI sem codificação adequada. Isso permite a execução de código JavaScript arbitrário no contexto da WebUI quando um usuário visualiza as páginas afetadas, podendo levar ao roubo de tokens de sessão ou ações não autorizadas. A vulnerabilidade é acionada ao enviar um payload malicioso por meio de uma requisição POST para o endpoint da API /proxy/accounts/{account}/identities, especificamente no parâmetro identity. O payload é armazenado e executado ao visualizar os detalhes da conta. Um atacante pode potencialmente criar uma nova identidade UserPass root ou exfiltrar dados.

Recomendações Versões anteriores a 35.8.3 devem ser atualizadas para a versão 35.8.3 ou posterior. Versões anteriores a 38.5.4 devem ser atualizadas para a versão 38.5.4 ou posterior. Versões anteriores a 39.3.1 devem ser atualizadas para a versão 39.3.1 ou posterior.