关键信息 漏洞概述 漏洞类型: 多个跨站脚本(XSS)漏洞 受影响产品: REDCap (Research Electronic Data Capture) CVE编号: CVE-2024-37394, CVE-2024-37395, CVE-2024-37396 漏洞详情 发现者: Trustwave SpiderLabs 影响版本: REDCap 13.0.3及之前版本 漏洞描述: - CVE-2024-37394: 在Calendar View of Version Control中存在存储型XSS,允许认证用户在HTML元素的 属性中注入恶意JavaScript。 - CVE-2024-37395: 在Public Surveys中的 属性中存在存储型XSS,允许通过URL参数注入恶意JavaScript。 - CVE-2024-37396: 在Project Dashboards的Version Control中存在存储型XSS,允许认证用户通过 属性注入恶意JavaScript。 影响 数据泄露: 敏感信息可能被泄露 权限提升: 攻击者可能获得更高权限 功能破坏: 可能导致应用程序功能受损 代码执行: 可能导致任意代码执行和访问受保护的数据 修复建议 升级版本: 升级到REDCap 14.2.1或更高版本 安全配置: 强烈建议立即应用补丁 负责任披露 披露过程: Trustwave SpiderLabs已将这些漏洞报告给Vanderbilt University,并遵循了负责任的披露流程。