REDCap 14.9.6 には、アラート設定のリストを含む CSV ファイルのアップロード中に、alert-title における action=myprojects&logout=1 の CSRF (Cross-Site Request Forgery) の問題があります。攻撃者は、alert-title に HTML インジェクション ペイロードを含む CSV ファイルを被害者に送信できます。

このCSRF脆弱性を悪用されると、攻撃者は被害者のREDCapアカウントを乗っ取り、機密情報へのアクセスや不正な操作を実行する可能性があります。具体的には、攻撃者はCSVファイルにHTMLインジェクションペイロードを埋め込み、被害者がそのファイルをアップロードした際に、alert-titleをクリックさせることで、セッションを強制終了させたり、悪意のあるウェブサイトにリダイレクトさせたりすることができます。これにより、被害者は自身の認証情報が盗まれたり、マルウェアに感染したりするリスクにさらされます。この脆弱性は、特にREDCapを共有ホスティング環境で利用しているユーザーや、複数のユーザーが同じアカウントを共有している場合に、影響が大きくなる可能性があります。

Organizations and individuals utilizing REDCap for data management and research are at risk, particularly those relying on older, unpatched versions (≤14.9.6). Shared hosting environments where multiple users access the same REDCap instance are also at increased risk, as a compromised user could potentially impact other users.

• php / web:

 grep -r "action=myprojects&logout=1" /var/www/html/redcap/ | grep CSV

• generic web:

 curl -I https://your-redcap-instance.com/index.php?action=myprojects&logout=1 | grep -i "logout"

1. 2025-01-10Disclosure

   disclosure

1. 予約済み2025-01-10
2. 公開日2025-01-10
3. 更新日2025-01-13
4. EPSS 更新日2026-04-02

REDCapのバージョン14.9.7以降へのアップデートが最も効果的な対策です。もしアップデートが困難な場合は、REDCapのアクセス制御を強化し、信頼できないソースからのCSVファイルアップロードを制限することを検討してください。また、WAF（Web Application Firewall）を導入し、CSRF攻撃を検知・防御するルールを設定することも有効です。REDCapのセキュリティ設定を見直し、不要な機能や権限を制限することも重要です。アップデート後、REDCapのログを確認し、不正なアクセスや操作がないか確認してください。