Plattform
php
Komponente
loris
Behoben in
20.0.1
28.0.1
CVE-2026-35400 affects LORIS, a self-hosted web application for neuroimaging research. This vulnerability allows an attacker with publication module access to forge emails, making them appear to originate from the LORIS system. The vulnerability impacts versions 20.0.0 through 28.0.0 (excluding 27.0.3 and 28.0.1). A fix is available in versions 27.0.3 and 28.0.1.
CVE-2026-35400 in LORIS (Longitudinal Online Research and Imaging System) ermöglicht einem Angreifer mit Zugriff auf das Publikationsmodul, E-Mails an eine externe Domain zu fälschen, die vom Angreifer kontrolliert wird. Dies liegt daran, dass das System fälschlicherweise die baseURL vertraut, die von einer POST-Anfrage eines Benutzers übermittelt wird, anstatt den internen LORIS-Wert zu verwenden. Wenn ein Angreifer die baseURL manipulieren kann, kann er betrügerische E-Mails versenden, die scheinbar von LORIS stammen, was für Phishing-Angriffe oder zur Schädigung des Rufs des Systems verwendet werden könnte. Diese Schwachstelle betrifft LORIS-Versionen von 20.0.0 bis einschließlich 27.0.2 und auch die Version 28.0.0.
Ein Angreifer müsste Zugriff auf das Publikationsmodul innerhalb von LORIS haben, um diese Schwachstelle auszunutzen. Dies könnte durch kompromittierte Anmeldedaten oder eine Authentifizierungsschwachstelle erreicht werden. Sobald er sich im Modul befindet, könnte der Angreifer eine bösartige POST-Anfrage senden, die eine vom Angreifer kontrollierte baseURL enthält. Das System würde dann, in dem Vertrauen auf diese vom Benutzer bereitgestellte baseURL, betrügerische E-Mails über diese Domain versenden. Die Komplexität der Ausnutzung hängt von der Sicherheitslage der LORIS-Installation und den implementierten Zugriffskontrollen ab.
Research institutions and laboratories utilizing LORIS for neuroimaging data management are at risk. Specifically, organizations with multiple users having access to the publication module, or those running older, unpatched versions of LORIS, are particularly vulnerable. Shared hosting environments where multiple LORIS instances are deployed on the same server could also increase the risk of lateral movement if one instance is compromised.
• php: Examine LORIS application logs for suspicious POST requests to the publication module containing unusual or external baseURL values. Use grep to search for patterns like POST /publication_module.php ... baseURL=attacker.com ...
• generic web: Monitor email logs for emails originating from the LORIS server but with sender addresses or domains that are not associated with the legitimate LORIS infrastructure.
disclosure
Exploit-Status
EPSS
0.03% (8% Perzentil)
CISA SSVC
CVSS-Vektor
Um CVE-2026-35400 zu beheben, wird dringend empfohlen, LORIS auf Version 27.0.3 oder höher oder auf Version 28.0.1 oder höher zu aktualisieren. Diese Versionen beheben das Problem, indem sie die interne LORIS-baseURL validieren und verwenden, anstatt der Benutzereingabe zu vertrauen. Überprüfen Sie außerdem die Zugriffsrechte für das Publikationsmodul, um den Zugriff auf autorisierte Benutzer zu beschränken. Die Überwachung der Systemaktivität auf ungewöhnliche Muster kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und zu verhindern. Das Aktualisieren ist die effektivste Lösung und sollte Priorität haben.
Actualice LORIS a la versión 27.0.3 o superior, o a la versión 28.0.1 o superior. Esta actualización corrige la forma en que se maneja la baseURL en el módulo de publicación, evitando que un atacante pueda falsificar correos electrónicos.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
LORIS-Versionen von 20.0.0 bis einschließlich 27.0.2 und auch die Version 28.0.0 sind anfällig für diese Schwachstelle.
Sie können die LORIS-Version überprüfen, indem Sie auf die Anwendungsinformationsseite innerhalb der LORIS-Benutzeroberfläche zugreifen.
Wenn Sie LORIS nicht sofort aktualisieren können, beschränken Sie den Zugriff auf das Publikationsmodul und überwachen Sie die Systemaktivität.
Es gibt kein spezielles Tool, um diese Schwachstelle zu erkennen, aber die Überwachung der E-Mail-Protokolle und der Systemaktivität kann dazu beitragen, verdächtige Muster zu identifizieren.
Sie finden weitere Informationen zu dieser Schwachstelle auf der Seite CVE-2026-35400 in Schwachstellen-Datenbanken wie dem NIST NVD.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.