Araştırmacılar, Vanderbilt Üniversitesi tarafından geliştirilen ve bilimsel ve akademik araştırmacılar için çevrimiçi anketler ve veritabanları oluşturmak ve yönetmek amacıyla kullanılan bir web uygulaması olan Research Electronic Data Capture’da (REDCap) üç adet çapraz site betik çalıştırma (XSS) açığı keşfetti.
Trustwave’in SpiderLabs’ından gelen bir duyuruya göre, güvenlik açıkları CVE-2024-37394, CVE-2024-37395 ve CVE-2024-37396 olarak belirlendi ve “saldırganların kurbanların tarayıcılarında kötü amaçlı JavaScript kodu çalıştırmasına ve hassas verileri tehlikeye atmasına olanak tanıyabilir.”
Oradaki araştırmacılar, üniversitelerde ve bilimsel kurumlarda özel, hassas bilgiler içeren çalışmaları yönetmek için popüler olan REDCap’teki 13.1.9 sürümündeki birden fazla konumda güvenlik açıkları tespit etti. Platformdaki güvenlik açıkları arasında takvim etkinlikleri, kamu anketleri ve proje panoları yer alıyor.
“Araştırmacılarımız, kavram kanıtı istismarları “Her savunmasız yer için” araştırmacılar yazdı“Her durumda, tetiklendiğinde belge etki alanını görüntüleyen bir uyarıyı çalıştıran basit bir JavaScript yükü enjekte edebildiler.”
Bu açıklar, tehdit aktörlerinin hassas bilgileri çalmasına, kurbanın eylemlerini taklit etmesine, REDCap uygulamasını manipüle etmesine ve hatta korunan verilere erişmesine olanak tanıyabilir.
Bu kusurları azaltmak için kullanıcıların, Vanderbilt Üniversitesi’nin bu hataları giderdiği REDCap sürüm 14.2.1 veya sonraki bir sürüme güncellemeleri önerilir.