REDCap:多个跨站脚本(XSS)漏洞
REDCap由范德比尔特大学开发,是一个用于研究数据和操作数据收集的安全平台。REDCap在科学机构和大学中很受欢迎,这些机构在进行研究数据收集时需要严格遵守政府法规和数据隐私法律。它在管理通常包含敏感或私人信息的研究时特别有用。
作为Trustwave SpiderLabs(一家LevelBlue公司)的研究员,我发现了REDCap应用程序中三个存储型跨站脚本(XSS)漏洞实例。当这些漏洞被利用时,攻击者可以在受害者的浏览器中执行恶意JavaScript代码,可能危及敏感数据。
漏洞详情
版本15.0.27 LTS之前的REDCap应用程序容易受到XSS攻击,原因是未能正确编码不受信任的数据。尽管应用程序已实施了安全功能来防止XSS攻击,例如移除HTML事件属性,但我仍然能够识别出绕过安全功能的XSS有效载荷。
以下位置受到影响:
- REDCap消息
- 项目标题
- 工具名称
虽然在测试过程中发现REDCap会话cookie设置了"HttpOnly"属性,但已识别的漏洞仍可能对用户及其数据构成风险。
概念验证
以下是适用于上述受影响位置的样本概念验证(PoC):
- 确保您以标准应用程序用户身份认证到REDCap应用程序
- 通过点击顶部导航栏导航到Messenger功能
- 创建标准对话
- 发送包含XSS有效载荷的消息。例如:
<a href="javascript:alert(1)">Click Me</a> - 当点击消息中的"Click Me"链接时,观察到有效载荷被执行
当将此有效载荷插入REDCap中的各个字段时,会创建可点击元素,点击时执行恶意JavaScript。
修复措施
修补版本15.0.27 LTS和15.4.3 Standard已于2025年6月12日发布。Trustwave强烈建议所有REDCap用户立即更新到最新版本。
CVE分配
此漏洞已通过Trustwave负责任披露程序处理。Trustwave在6月修补版本发布后立即为此漏洞申请了CVE。然而,CVE计划的延迟推迟了CVE分配。当这些漏洞被分配CVE时,我们将更新此帖子。