CVE-2024-47530

Scout is a web-based visualizer for VCF-files. Open redirect vulnerability allows performing phishing attacks on users by redirecting them to malicious page. /login API endpoint is vulnerable to open redirect attack via next parameter due to absence of sanitization logic. Additionally, due to lack of scheme validation, HTTPS Downgrade Attack can be performed on the users. This vulnerability is fixed in 4.89.

CVSS v3 5.4 MEDIUM

5.4^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 2.5

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://github.com/Clinical-Genomics/scout/commit/50055edfca9a7183b248019af97e1fb0b0065a02
https://github.com/Clinical-Genomics/scout/security/advisories/GHSA-3x45-2m34-x95v

Configurations

No configuration.

History

04 Oct 2024, 13:51

Type	Values Removed	Values Added
Summary		(es) Scout es un visualizador basado en la web para archivos VCF. La vulnerabilidad de redirección abierta permite realizar ataques de phishing a los usuarios al redirigirlos a una página maliciosa. El endpoint de la API /login es vulnerable a ataques de redirección abierta a través del siguiente parámetro debido a la ausencia de lógica de desinfección. Además, debido a la falta de validación del esquema, se puede realizar un ataque de degradación de HTTPS a los usuarios. Esta vulnerabilidad se corrigió en la versión 4.89.

30 Sep 2024, 16:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-09-30 16:15

Updated : 2024-10-04 13:51

NVD link : CVE-2024-47530

Mitre link : CVE-2024-47530

CVE.ORG link : CVE-2024-47530

JSON object : View

Products Affected

No product.

CWE

CWE-601

URL Redirection to Untrusted Site ('Open Redirect')

5.4 /10