Vulnerabilidad en Rucio (CVE-2026-25138)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/02/2026
Última modificación:
27/02/2026
Descripción
Rucio es un framework de software que proporciona funcionalidad para organizar, gestionar y acceder a grandes volúmenes de datos científicos utilizando políticas personalizables. Antes de las versiones 35.8.3, 38.5.4 y 39.3.1, el endpoint de inicio de sesión de la WebUI devolvía mensajes de error distintos dependiendo de si un nombre de usuario proporcionado existía, permitiendo a atacantes no autenticados enumerar nombres de usuario válidos. Las versiones 35.8.3, 38.5.4 y 39.3.1 solucionan el problema.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cern:rucio:*:*:*:*:*:*:*:* | 35.8.3 (excluyendo) | |
| cpe:2.3:a:cern:rucio:*:*:*:*:*:*:*:* | 36.0.0 (incluyendo) | 38.5.4 (excluyendo) |
| cpe:2.3:a:cern:rucio:*:*:*:*:*:*:*:* | 39.0.0 (incluyendo) | 39.3.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html#authentication-and-error-messages
- https://github.com/rucio/rucio/releases/tag/35.8.3
- https://github.com/rucio/rucio/releases/tag/38.5.4
- https://github.com/rucio/rucio/releases/tag/39.3.1
- https://github.com/rucio/rucio/security/advisories/GHSA-38wq-6q2w-hcf9
- https://github.com/rucio/rucio/security/advisories/GHSA-38wq-6q2w-hcf9