Plataforma
php
Componente
loris
Corregido en
27.0.4
28.0.1
CVE-2026-35169 es una vulnerabilidad de Cross-Site Scripting (XSS) descubierta en LORIS, un sistema web auto-alojado para la gestión de datos e investigación en neuroimagen. Esta falla permite a un atacante inyectar scripts maliciosos si un usuario es engañado para que siga un enlace inválido, o descargar archivos Markdown arbitrarios. Las versiones afectadas son 27.0.0 hasta 28.0.0 (excluyendo) y menores a 28.0.1. La vulnerabilidad ha sido corregida en las versiones 27.0.3 y 28.0.1.
La vulnerabilidad XSS en LORIS permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario. Esto podría resultar en el robo de credenciales, la modificación de datos o la redirección a sitios web maliciosos. La capacidad de descargar archivos Markdown arbitrarios amplía el impacto, permitiendo potencialmente la exfiltración de información sensible almacenada en el servidor. Un atacante podría explotar esta vulnerabilidad para comprometer la confidencialidad, integridad y disponibilidad del sistema LORIS y los datos que contiene, afectando potencialmente la investigación neuroimagen y la privacidad de los participantes.
La vulnerabilidad CVE-2026-35169 fue publicada el 8 de abril de 2026. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la publicación. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad XSS la hace relativamente fácil de explotar. Se recomienda monitorear la actividad en el sistema LORIS y aplicar las mitigaciones lo antes posible.
Research institutions and laboratories utilizing LORIS to manage neuroimaging data are at significant risk. Organizations with legacy LORIS deployments or those that have not implemented robust input validation practices are particularly vulnerable. Shared hosting environments where multiple LORIS instances reside on the same server could also be affected, as a successful attack on one instance could potentially compromise others.
• php: Examine LORIS application logs for suspicious requests containing <script> tags or other XSS payloads within the help_editor module.
grep -i '<script' /var/log/loris/application.log• generic web: Use curl to test for XSS by injecting a simple payload into a parameter handled by the help_editor module and observing the response for script execution.
curl 'http://loris-server/help_editor?input=<script>alert(1)</script>' • generic web: Check access logs for unusual user agent strings or referral URLs associated with requests to the help_editor module.
disclosure
patch
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-35169 es actualizar LORIS a la versión 27.0.3 o 28.0.1. Si la actualización causa problemas de compatibilidad, considere una reversión a una versión anterior conocida como estable, aunque esto solo es una solución temporal. Como medida adicional, implemente reglas en un Web Application Firewall (WAF) o proxy para bloquear solicitudes que contengan patrones sospechosos de inyección de scripts. Revise los registros de acceso y error en busca de intentos de explotación, prestando especial atención a solicitudes con caracteres inusuales en los parámetros de la URL. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta intentando acceder a un enlace especialmente diseñado para activar la XSS y verificando que no se ejecute ningún script malicioso.
Actualice el módulo LORIS a la versión 27.0.3 o superior, o a la versión 28.0.1 o superior. Estas versiones corrigen la vulnerabilidad de XSS y la posibilidad de descarga de archivos markdown arbitrarios al no sanitizar correctamente las entradas del usuario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-35169 is a reflected Cross-Site Scripting (XSS) vulnerability in LORIS, allowing attackers to inject malicious scripts or download arbitrary markdown files.
You are affected if you are running LORIS versions 27.0.0 through 28.0.0, excluding 28.0.1.
Upgrade LORIS to version 27.0.3 or 28.0.1. Consider WAF rules as a temporary mitigation.
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation warrants proactive mitigation.
Refer to the LORIS project's official website and security advisories for the latest information: [https://www.loris.dbmi.washington.edu/](https://www.loris.dbmi.washington.edu/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.