प्लेटफ़ॉर्म
php
घटक
loris-platform
में ठीक किया गया
16.1.1
28.0.1
CVE-2026-34985 describes a file access vulnerability within LORIS, a self-hosted web application for neuroimaging research. This flaw allows unauthorized users to potentially retrieve files if they possess knowledge of the file's name, bypassing intended access restrictions. The vulnerability impacts LORIS versions 16.1.0 through 28.0.0 (excluding 28.0.1) and has been resolved in versions 27.0.3 and 28.0.1.
CVE-2026-34985 Loris को प्रभावित करता है, जो न्यूरोइमेजिंग अनुसंधान के लिए डेटा और परियोजना प्रबंधन प्रदान करने वाला एक स्व-होस्टेड वेब एप्लिकेशन है। भेद्यता मीडिया मॉड्यूल में मौजूद है, जहां फ्रंटएंड सही ढंग से उन फ़ाइलों को फ़िल्टर करता है जिन्हें उपयोगकर्ता को एक्सेस नहीं करना चाहिए। हालाँकि, बैकएंड इन एक्सेस जांचों को लागू नहीं करता है। यह एक हमलावर को एक प्रतिबंधित फ़ाइल का नाम जानने पर, इसे एक्सेस करने की अनुमति देता है, फ्रंटएंड सुरक्षा को दरकिनार करता है। इस दोष का CVSS स्कोर 6.3 है, जो एक मध्यम जोखिम दर्शाता है। प्रभावित संस्करण 16.1.0 से लेकर 27.0.3 और 28.0.1 से पहले तक हैं। न्यूरोइमेजिंग अनुसंधान डेटा का एक्सपोजर महत्वपूर्ण परिणाम दे सकता है।
Loris सिस्टम के भीतर फ़ाइल का नाम जानने वाला एक हमलावर इस भेद्यता का फायदा उठा सकता है। भेद्यता का फायदा उठाने के लिए प्रमाणीकरण की आवश्यकता नहीं है, लेकिन हमलावर को उस फ़ाइल का सटीक नाम जानना होगा जिसे वह एक्सेस करने का प्रयास कर रहा है। शोषण को एक प्रत्यक्ष HTTP अनुरोध के माध्यम से प्राप्त किया जा सकता है फ़ाइल पर, यदि सर्वर को फ़ाइलों तक प्रत्यक्ष पहुंच की अनुमति देने के लिए कॉन्फ़िगर किया गया है। शोषण की जटिलता कम है, क्योंकि इसके लिए केवल फ़ाइल नाम का ज्ञान और HTTP अनुरोध करने के लिए एक उपकरण की आवश्यकता होती है। शोषण की संभावना Loris सिस्टम के नेटवर्क एक्सपोजर और उपयोगकर्ताओं की सुरक्षा जागरूकता के आधार पर मध्यम है।
Research institutions and laboratories utilizing LORIS for neuroimaging data management are at risk. Specifically, deployments using older versions of LORIS (16.1.0–>= 28.0.0, < 28.0.1) are vulnerable. Organizations with sensitive research data or those relying on LORIS for critical workflows should prioritize remediation.
• php: Examine LORIS application logs for unusual file access attempts, particularly those involving filenames that should be restricted. Use grep to search for patterns related to unauthorized file access within the logs.
• generic web: Monitor web server access logs for requests to files that are not publicly accessible. Look for patterns suggesting attempts to access files by directly specifying their names.
• database (mysql): If LORIS stores file metadata in a database, query the database for user access permissions and compare them to actual file access attempts.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान Loris को संस्करण 27.0.3 या उच्चतर, या संस्करण 28.0.1 में अपडेट करना है। इन संस्करणों में फिक्स शामिल हैं जो यह सुनिश्चित करते हैं कि बैकएंड फ्रंटएंड के समान एक्सेस जांचों को लागू करता है, अनधिकृत फ़ाइल एक्सेस को रोकता है। जोखिम को कम करने के लिए इस अपडेट को जल्द से जल्द लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, अपने संगठन की सुरक्षा नीतियों के साथ संरेखित करने के लिए Loris के भीतर फ़ाइल और फ़ोल्डर अनुमति कॉन्फ़िगरेशन की समीक्षा करें। सिस्टम लॉग की निगरानी असामान्य एक्सेस प्रयासों के लिए भी संभावित शोषण का पता लगाने और प्रतिक्रिया देने में मदद कर सकती है।
Actualice LORIS a la versión 27.0.3 o superior, o a la versión 28.0.1. Estas versiones incluyen correcciones para evitar el acceso no autorizado a archivos multimedia debido a fallas en las comprobaciones de acceso en el backend.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Loris के संस्करण 16.1.0 से लेकर 27.0.3 और 28.0.1 से पहले तक इस भेद्यता के प्रति संवेदनशील हैं।
Loris के संस्करण 27.0.3 या उच्चतर, या संस्करण 28.0.1 में अपडेट करने के निर्देशों के लिए Loris के आधिकारिक दस्तावेज़ देखें।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो अतिरिक्त सुरक्षा उपाय करने पर विचार करें, जैसे नेटवर्क एक्सेस को प्रतिबंधित करना और सिस्टम लॉग की निगरानी करना।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन स्थापित Loris संस्करण की जांच करने की सिफारिश की जाती है।
न्यूरोइमेजिंग अनुसंधान डेटा, जिसमें मस्तिष्क की छवियां, रोगी डेटा और संबंधित मेटाडेटा शामिल हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।