CVE-2025-23113

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-23113
An issue was discovered in REDCap 14.9.6. It has an action=myprojects&logout=1 CSRF issue in the alert-title while performing an upload of a CSV file containing a list of alert configuration. An attacker can send the victim a CSV file containing an HTML injection payload in the alert-title. Once the victim uploads the file, he automatically lands on a page to view the uploaded data. If the victim click on the alert-title value, it can trigger a logout request and terminates their session, or redirect to a phishing website. This vulnerability stems from the absence of CSRF protections on the logout functionality.

3.4 /10

CVSS v3 : LOW

V3 Legend

Vector :

Exploitability : 1.6 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact NONE

Integrity Impact LOW

Availability Impact NONE

Scope CHANGED

References
Link Resource
https://github.com/ping-oui-no/Vulnerability-Research-CVESS/blob/main/RedCap/CVE_XXX/README.md Broken Link
Configurations

Configuration 1 (hide)

cpe:2.3:a:vanderbilt:redcap:14.9.6:*:*:*:*:*:*:*
History

25 Feb 2025, 16:11

Type Values Removed Values Added
CPE cpe:2.3:a:vanderbilt:redcap:14.9.6:*:*:*:*:*:*:*
First Time Vanderbilt redcap
Vanderbilt
Summary
  • (es) Se descubrió un problema en REDCap 14.9.6. Tiene un problema CSRF action=myprojects&logout=1 en el título de alerta mientras se carga un archivo CSV que contiene una lista de configuraciones de alerta. Un atacante puede enviar a la víctima un archivo CSV que contiene un payload de inyección HTML en el título de alerta. Una vez que la víctima carga el archivo, automáticamente llega a una página para ver los datos cargados. Si la víctima hace clic en el valor del título de alerta, puede activar una solicitud de cierre de sesión y finalizar su sesión, o redirigirla a un sitio web de phishing. Esta vulnerabilidad se debe a la ausencia de protecciones CSRF en la funcionalidad de cierre de sesión.
References () https://github.com/ping-oui-no/Vulnerability-Research-CVESS/blob/main/RedCap/CVE_XXX/README.md - () https://github.com/ping-oui-no/Vulnerability-Research-CVESS/blob/main/RedCap/CVE_XXX/README.md - Broken Link

10 Jan 2025, 23:15

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 3.4
CWE CWE-352

10 Jan 2025, 22:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-01-10 22:15

Updated : 2025-02-25 16:11

NVD link : CVE-2025-23113

Mitre link : CVE-2025-23113

CVE.ORG link : CVE-2025-23113

JSON object : View

Products Affected

vanderbilt

  • redcap
CWE
CWE-352

Cross-Site Request Forgery (CSRF)