Vulnerabilidad en REDCap 13.1.9 (CVE-2024-37395)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
10/06/2025
Última modificación:
16/06/2025
Descripción
Una vulnerabilidad de cross site scripting (XSS) almacenado en la función de Encuesta Pública de REDCap 13.1.9 permite a usuarios autenticados ejecutar scripts web o HTML arbitrarios mediante la inyección de un payload manipulado en los campos "Título de la encuesta" e "Instrucciones de la encuesta". Esta vulnerabilidad podría ser explotada por atacantes para ejecutar scripts maliciosos al acceder a la encuesta a través de su enlace público. Se recomienda actualizar a la versión 14.2.1 o posterior para solucionar este problema.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:vanderbilt:redcap:*:*:*:*:*:*:*:* | 14.2.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://www.evms.edu/research/resources_services/redcap/redcap_change_log/
- https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/multiple-cross-site-scripting-xss-vulnerabilities-in-redcap-cve-2024-37394-cve-2024-37395-and-cve-2024-37396/
- https://www.trustwave.com/hubfs/Web/Library/Advisories_txt/TWSL2024-003_XSS_REDCap_1.txt
- https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/multiple-cross-site-scripting-xss-vulnerabilities-in-redcap-cve-2024-37394-cve-2024-37395-and-cve-2024-37396/