CVE-2026-25736

Nome do Software Vulnerável e Versões Afetadas Versões do Rucio anteriores a 35.8.3, 38.5.4 e 39.3.1

Descrição O Rucio é um framework de software utilizado para organizar, gerenciar e acessar grandes volumes de dados científicos. Existe uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no atributo RSE personalizado da WebUI. Atacantes podem injetar entradas maliciosas que são salvas pelo backend e, em seguida, exibidas na WebUI sem codificação adequada. Isso permite a execução de código JavaScript arbitrário no contexto da WebUI quando um usuário visualiza as páginas afetadas, possivelmente levando ao roubo de tokens de sessão ou ações não autorizadas. A vulnerabilidade é acionada ao criar um atributo RSE personalizado por meio do caminho Admin > Gerenciamento de RSE > NOME DO RSE > Adicionar Atributo e, em seguida, visualizar o RSE por Admin > Gerenciamento de RSE > NOME DO RSE . O ataque utiliza uma requisição POST para o endpoint /proxy/rses/WEB1/attr/XSS com um payload no corpo da requisição, como {"value":"<script>alert('XSS')</script>"}. Um atacante poderia explorar isso para criar uma nova identidade UserPass ou exfiltrar dados. O impacto é ampliado pela ausência do flag HttpOnly em cookies de sessão e pela exposição de tokens de API em variáveis JavaScript.

Recomendações Versões anteriores a 35.8.3 devem ser atualizadas para a versão 35.8.3 ou posterior. Versões anteriores a 38.5.4 devem ser atualizadas para a versão 38.5.4 ou posterior. Versões anteriores a 39.3.1 devem ser atualizadas para a versão 39.3.1 ou posterior.