CVE-2024-56311

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-56311
REDCap through 14.9.6 has a security flaw in the Notes section of calendar events, exposing users to a Cross-Site Request Forgery (CSRF) attack. An attacker can exploit this by luring users into accessing a calendar event's notes, which triggers a logout request and terminates their session. This vulnerability stems from the absence of CSRF protections on the logout functionality, allowing malicious actions to be executed without user consent.

8.8 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://github.com/ping-oui-no/Vulnerability-Research-CVESS/tree/main/RedCap Exploit Third Party Advisory
https://www.evms.edu/research/resources_services/redcap/redcap_change_log/ Product
Configurations

Configuration 1 (hide)

cpe:2.3:a:vanderbilt:redcap:*:*:*:*:*:*:*:*
History

22 Apr 2025, 15:43

Type Values Removed Values Added
References () https://github.com/ping-oui-no/Vulnerability-Research-CVESS/tree/main/RedCap - () https://github.com/ping-oui-no/Vulnerability-Research-CVESS/tree/main/RedCap - Exploit, Third Party Advisory
References () https://www.evms.edu/research/resources_services/redcap/redcap_change_log/ - () https://www.evms.edu/research/resources_services/redcap/redcap_change_log/ - Product
CPE cpe:2.3:a:vanderbilt:redcap:*:*:*:*:*:*:*:*
First Time Vanderbilt redcap
Vanderbilt

13 Mar 2025, 19:15

Type Values Removed Values Added
CWE CWE-352
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 8.8

14 Jan 2025, 17:15

Type Values Removed Values Added
CWE CWE-352
CVSS v2 : unknown
v3 : 8.8 		v2 : unknown
v3 : unknown

10 Jan 2025, 11:15

Type Values Removed Values Added
Summary (en) REDCap through 15.0.0 has a security flaw in the Notes section of calendar events, exposing users to a Cross-Site Request Forgery (CSRF) attack. An attacker can exploit this by luring users into accessing a calendar event's notes, which triggers a logout request and terminates their session. This vulnerability stems from the absence of CSRF protections on the logout functionality, allowing malicious actions to be executed without user consent. (en) REDCap through 14.9.6 has a security flaw in the Notes section of calendar events, exposing users to a Cross-Site Request Forgery (CSRF) attack. An attacker can exploit this by luring users into accessing a calendar event's notes, which triggers a logout request and terminates their session. This vulnerability stems from the absence of CSRF protections on the logout functionality, allowing malicious actions to be executed without user consent.
Summary (es) REDCap hasta la versión 15.0.0 tiene una falla de seguridad en la sección Notas de los eventos del calendario, lo que expone a los usuarios a un ataque de Cross-Site Request Forgery (CSRF). Un atacante puede aprovechar esto engañando a los usuarios para que accedan a las notas de un evento del calendario, lo que desencadena una solicitud de cierre de sesión y finaliza su sesión. Esta vulnerabilidad se debe a la ausencia de protecciones CSRF en la funcionalidad de cierre de sesión, lo que permite que se ejecuten acciones maliciosas sin el consentimiento del usuario. (es) REDCap hasta la versión 15.0.0 tiene un fallo de seguridad en la sección Notas de los eventos del calendario, lo que expone a los usuarios a un ataque de Cross-Site Request Forgery (CSRF). Un atacante puede aprovechar esto engañando a los usuarios para que accedan a las notas de un evento del calendario, lo que desencadena una solicitud de cierre de sesión y finaliza su sesión. Esta vulnerabilidad se debe a la ausencia de protecciones CSRF en la funcionalidad de cierre de sesión, lo que permite que se ejecuten acciones maliciosas sin el consentimiento del usuario.

24 Dec 2024, 03:15

Type Values Removed Values Added
Summary
  • (es) REDCap hasta la versión 15.0.0 tiene una falla de seguridad en la sección Notas de los eventos del calendario, lo que expone a los usuarios a un ataque de Cross-Site Request Forgery (CSRF). Un atacante puede aprovechar esto engañando a los usuarios para que accedan a las notas de un evento del calendario, lo que desencadena una solicitud de cierre de sesión y finaliza su sesión. Esta vulnerabilidad se debe a la ausencia de protecciones CSRF en la funcionalidad de cierre de sesión, lo que permite que se ejecuten acciones maliciosas sin el consentimiento del usuario.
CWE CWE-352
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 8.8

22 Dec 2024, 21:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-12-22 21:15

Updated : 2025-04-22 15:43

NVD link : CVE-2024-56311

Mitre link : CVE-2024-56311

CVE.ORG link : CVE-2024-56311

JSON object : View

Products Affected

vanderbilt

  • redcap
CWE
CWE-352

Cross-Site Request Forgery (CSRF)