Vulnerabilidad en Rucio (CVE-2026-25736)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
25/02/2026
Última modificación:
27/02/2026
Descripción
Rucio es un framework de software que proporciona funcionalidad para organizar, gestionar y acceder a grandes volúmenes de datos científicos utilizando políticas personalizables. Las versiones anteriores a la 35.8.3, 38.5.4 y 39.3.1 tienen una vulnerabilidad de cross-site scripting (XSS) almacenado en el Custom RSE Attribute de la WebUI, donde la entrada controlada por el atacante es persistida por el backend y posteriormente renderizada en la WebUI sin una codificación de salida adecuada. Esto permite la ejecución arbitraria de JavaScript en el contexto de la WebUI para los usuarios que visualizan las páginas afectadas, lo que podría permitir el robo de tokens de sesión o acciones no autorizadas. Las versiones 35.8.3, 38.5.4 y 39.3.1 solucionan el problema.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cern:rucio:*:*:*:*:*:*:*:* | 35.8.3 (excluyendo) | |
| cpe:2.3:a:cern:rucio:*:*:*:*:*:*:*:* | 36.0.0 (incluyendo) | 38.5.4 (excluyendo) |
| cpe:2.3:a:cern:rucio:*:*:*:*:*:*:*:* | 39.0.0 (incluyendo) | 39.3.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html
- https://github.com/rucio/rucio/releases/tag/35.8.3
- https://github.com/rucio/rucio/releases/tag/38.5.4
- https://github.com/rucio/rucio/releases/tag/39.3.1
- https://github.com/rucio/rucio/security/advisories/GHSA-fq4f-4738-rqxm
- https://github.com/rucio/rucio/security/advisories/GHSA-fq4f-4738-rqxm