Plateforme
php
Composant
loris
Corrigé dans
27.0.4
28.0.1
La vulnérabilité CVE-2026-35169 concerne une faille de Cross-Site Scripting (XSS) affectant LORIS, un système web auto-hébergé de gestion de données et de projets pour la recherche en neuroimagerie. Cette faille permet à un attaquant d'injecter des scripts malveillants dans les pages web consultées par d'autres utilisateurs, potentiellement compromettant leurs sessions ou leur permettant de télécharger des fichiers arbitraires. Les versions affectées sont les versions de 27.0.0 jusqu'à (mais non incluant) 28.0.1, la correction étant disponible depuis la version 27.0.3.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur de la victime. Cela peut conduire au vol de cookies de session, à la redirection vers des sites malveillants, ou à la modification du contenu affiché. De plus, la vulnérabilité permet le téléchargement de fichiers Markdown arbitraires depuis le serveur, ce qui pourrait révéler des informations sensibles stockées dans ces fichiers, ou permettre à l'attaquant de compromettre davantage le système. L'impact est amplifié si LORIS est utilisé dans un environnement de recherche sensible, où des données confidentielles sur les patients pourraient être exposées.
Cette vulnérabilité a été rendue publique le 8 avril 2026. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité XSS la rend potentiellement exploitable. Il n'y a pas d'indication qu'elle ait été ajoutée au KEV de CISA à ce jour. La présence d'une vulnérabilité XSS dans une application de recherche en neuroimagerie soulève des préoccupations en matière de confidentialité des données.
Research institutions and laboratories utilizing LORIS to manage neuroimaging data are at significant risk. Organizations with legacy LORIS deployments or those that have not implemented robust input validation practices are particularly vulnerable. Shared hosting environments where multiple LORIS instances reside on the same server could also be affected, as a successful attack on one instance could potentially compromise others.
• php: Examine LORIS application logs for suspicious requests containing <script> tags or other XSS payloads within the help_editor module.
grep -i '<script' /var/log/loris/application.log• generic web: Use curl to test for XSS by injecting a simple payload into a parameter handled by the help_editor module and observing the response for script execution.
curl 'http://loris-server/help_editor?input=<script>alert(1)</script>' • generic web: Check access logs for unusual user agent strings or referral URLs associated with requests to the help_editor module.
disclosure
patch
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour LORIS vers la version 27.0.3 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à implémenter des règles de filtrage strictes au niveau du pare-feu applicatif web (WAF) pour bloquer les requêtes contenant des chaînes de caractères suspectes. Il est également recommandé de désactiver temporairement le module 'help_editor' si possible. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en testant l'application avec des payloads XSS connus.
Actualice el módulo LORIS a la versión 27.0.3 o superior, o a la versión 28.0.1 o superior. Estas versiones corrigen la vulnerabilidad de XSS y la posibilidad de descarga de archivos markdown arbitrarios al no sanitizar correctamente las entradas del usuario.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-35169 is a reflected Cross-Site Scripting (XSS) vulnerability in LORIS, allowing attackers to inject malicious scripts or download arbitrary markdown files.
You are affected if you are running LORIS versions 27.0.0 through 28.0.0, excluding 28.0.1.
Upgrade LORIS to version 27.0.3 or 28.0.1. Consider WAF rules as a temporary mitigation.
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation warrants proactive mitigation.
Refer to the LORIS project's official website and security advisories for the latest information: [https://www.loris.dbmi.washington.edu/](https://www.loris.dbmi.washington.edu/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.