Découverte de vulnérabilités dans REDCap

Vue d'ensemble

Swiss Post Cybersecurity a identifié de multiples vulnérabilités de type Cross-Site Scripting (XSS) et d'injection HTML dans la plateforme REDCapTarget not accessible. Ces vulnérabilités, découvertes par les chercheurs en sécurité de Swiss Post Cybersecurity, Ralph El Khoury et Patrick Mkhael, affectent divers composants de l'interface utilisateur de REDCap, ce qui engendre des risques de sécurité pour les organisations qui s'en servent dans le cadre de la recherche et de la gestion de données. Si elles sont exploitées, ces vulnérabilités permettent à des attaquants d'injecter des scripts malveillants, conduisant à des actions non autorisées, au vol de données, au détournement de session et à la compromission potentielle d'informations sensibles.

Cette découverte souligne l'importance d'une évaluation continue de la sécurité, même pour des plateformes de confiance comme REDCap, et met en lumière les efforts continus d'entreprises comme Swiss Post Cybersecurity pour améliorer le paysage de la sécurité.

Attribution des CVE

CVE Identifier	Description	Vulnerability Type
CVE-2024-56310	HTML Injection in Project Dashboard Name	HTML Injection
CVE-2024-56311	HTML Injection in Calendar Event	HTML Injection
CVE-2024-56312	Stored XSS in Project Dashboard Name	Stored XSS
CVE-2024-56313	Stored XSS in Calendar Event	Stored XSS
CVE-2024-56314	Stored XSS in Project Name	Stored XSS
CVE-2024-56376	Stored XSS in Built-in Messenger	Stored XSS
CVE-2024-56377	Stored XSS in Survey Title	Stored XSS
CVE-2025-23110	Reflected XSS in Email Subject of Alert	Reflected XSS
CVE-2025-23111	HTML Injection via Survey Field Name	HTML Injection
CVE-2025-23112	Stored XSS in Survey Field Name	Stored XSS
CVE-2025-23113	HTML Injection via Alert-Title Field	HTML Injection

Preuve de concept

La preuve de concept pour les vulnérabilités découvertes, y compris les étapes détaillées pour démontrer l'exploitation potentielle des problèmes, peut être trouvée dans les URL de référence fournis ci-dessous. Ces références offrent des informations complémentaires sur la manière dont les vulnérabilités ont été identifiées ainsi que sur leur impact potentiel.

Veuillez vous référer à la documentation officielle pour plus d'informations sur les mesures à prendre et les correctifs à installer.

Conclusion

Bien que REDCap fasse l'objet d'évaluations de sécurité régulières et ait résolu de nombreuses vulnérabilités au fil des ans, la découverte de ces problèmes dans la récente version 14.9.6 souligne que même un logiciel mature et largement utilisé peut encore contenir des failles de sécurité négligées. L'historique des CVE de REDCap reflète à la fois l'attention diligente que lui porte la communauté de la cybersécurité et les efforts proactifs de son équipe de développement pour remédier aux vulnérabilités signalées.

Cela nous rappelle que la sécurité est un processus continu plutôt qu'une étape unique. Pour les organisations qui utilisent REDCap, en particulier celles qui gèrent des données de recherche sensibles, cela souligne la nécessité de maintenir le logiciel à jour, d'effectuer des audits de sécurité réguliers et d'adopter des mesures de protection supplémentaires.

Nous conseillons vivement à tous les utilisateurs de REDCap de passer à la dernière version sécurisée et de maintenir une posture de sécurité solide en mettant en œuvre une surveillance continue, des pratiques de configuration sécurisées et une formation complète des utilisateurs afin d'atténuer les risques potentiels.

Découverte de vulnérabilités dans REDCap

Guidage vocal