CVE-2024-47530

Scout is a web-based visualizer for VCF-files. Open redirect vulnerability allows performing phishing attacks on users by redirecting them to malicious page. /login API endpoint is vulnerable to open redirect attack via next parameter due to absence of sanitization logic. Additionally, due to lack of scheme validation, HTTPS Downgrade Attack can be performed on the users. This vulnerability is fixed in 4.89.
Configurations

Configuration 1 (hide)

cpe:2.3:a:clinical-genomics:scout:*:*:*:*:*:*:*:*

History

15 Nov 2024, 18:03

Type Values Removed Values Added
CPE cpe:2.3:a:clinical-genomics:scout:*:*:*:*:*:*:*:*
First Time Clinical-genomics
Clinical-genomics scout
CVSS v2 : unknown
v3 : 5.4
v2 : unknown
v3 : 6.1
References () https://github.com/Clinical-Genomics/scout/commit/50055edfca9a7183b248019af97e1fb0b0065a02 - () https://github.com/Clinical-Genomics/scout/commit/50055edfca9a7183b248019af97e1fb0b0065a02 - Patch
References () https://github.com/Clinical-Genomics/scout/security/advisories/GHSA-3x45-2m34-x95v - () https://github.com/Clinical-Genomics/scout/security/advisories/GHSA-3x45-2m34-x95v - Exploit, Third Party Advisory

04 Oct 2024, 13:51

Type Values Removed Values Added
Summary
  • (es) Scout es un visualizador basado en la web para archivos VCF. La vulnerabilidad de redirección abierta permite realizar ataques de phishing a los usuarios al redirigirlos a una página maliciosa. El endpoint de la API /login es vulnerable a ataques de redirección abierta a través del siguiente parámetro debido a la ausencia de lógica de desinfección. Además, debido a la falta de validación del esquema, se puede realizar un ataque de degradación de HTTPS a los usuarios. Esta vulnerabilidad se corrigió en la versión 4.89.

30 Sep 2024, 16:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-30 16:15

Updated : 2024-11-15 18:03


NVD link : CVE-2024-47530

Mitre link : CVE-2024-47530

CVE.ORG link : CVE-2024-47530


JSON object : View

Products Affected

clinical-genomics

  • scout
CWE
CWE-601

URL Redirection to Untrusted Site ('Open Redirect')