Vulnerabilidad en DiracX-Web (CVE-2025-54066)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-601
Redireccionamiento de URL a sitio no confiable (Open Redirect)
Fecha de publicación:
17/07/2025
Última modificación:
17/07/2025
Descripción
DiracX-Web es una aplicación web que proporciona una interfaz para interactuar con los servicios de DiracX. En versiones anteriores a la 0.1.0-a8, un atacante podía falsificar una solicitud para redirigir a un usuario autenticado a otro sitio web arbitrario. En la página de inicio de sesión, DiracX-Web incluye un campo "redirect", que indica la ubicación a la que el servidor redirigirá al usuario. Esta URI no está verificada y puede ser arbitraria. Junto con la contaminación de parámetros, un atacante puede ocultar su URI maliciosa. Esto podría utilizarse para phishing y extraer nuevos datos (como redirigir a una nueva página de inicio de sesión y solicitar credenciales en otro momento). La versión 0.1.0-a8 corrige esta vulnerabilidad.
Impacto
Puntuación base 3.x
4.70
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://diracx-cert.app.cern.ch/auth?redirect=https%3A//ipcim.com/en/where/%3Fdsdsd%3Dqsqsfsjfnsfniizaeiaapzqlalkqkaizqqijsjaopmqmxna%3Fredirect%3Dhttps%3A//diracx-cert-app.cern.ch/auth
- https://github.com/DIRACGrid/diracx-web/commit/eba3b7bc4f9d394074215986e6d3c15b546b25d5
- https://github.com/DIRACGrid/diracx-web/security/advisories/GHSA-hfj7-542q-8fvv