Vulnerabilidad en Rucio (CVE-2026-25136)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
25/02/2026
Última modificación:
27/02/2026
Descripción
Rucio es un framework de software que proporciona funcionalidad para organizar, gestionar y acceder a grandes volúmenes de datos científicos utilizando políticas personalizables. Una vulnerabilidad de cross-site scripting reflejado fue localizada en versiones anteriores a la 35.8.3, 38.5.4 y 39.3.1 en la renderización del ExceptionMessage del error 500 de la WebUI, lo que podría permitir a los atacantes robar tokens de sesión de inicio de sesión de usuarios que naveguen a una URL especialmente diseñada. Las versiones 35.8.3, 38.5.4 y 39.3.1 solucionan el problema.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cern:rucio:*:*:*:*:*:*:*:* | 35.8.3 (excluyendo) | |
| cpe:2.3:a:cern:rucio:*:*:*:*:*:*:*:* | 36.0.0 (incluyendo) | 38.5.4 (excluyendo) |
| cpe:2.3:a:cern:rucio:*:*:*:*:*:*:*:* | 39.0.0 (incluyendo) | 39.3.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html
- https://github.com/rucio/rucio/releases/tag/35.8.3
- https://github.com/rucio/rucio/releases/tag/38.5.4
- https://github.com/rucio/rucio/releases/tag/39.3.1
- https://github.com/rucio/rucio/security/advisories/GHSA-h79m-5jjm-jm4q