प्लेटफ़ॉर्म
php
घटक
loris
में ठीक किया गया
21.0.1
28.0.1
CVE-2026-35165 is a vulnerability affecting LORIS, a self-hosted web application for neuroimaging research. This flaw allows unauthorized users to potentially download files they lack permission to access, bypassing frontend restrictions. The vulnerability impacts versions 21.0.0 through 28.0.0 (excluding 28.0.1) and has been resolved in versions 27.0.3 and 28.0.1.
CVE-2026-35165 Loris को प्रभावित करता है, जो न्यूरोइमेजिंग अनुसंधान के लिए डेटा और परियोजना प्रबंधन के लिए एक स्व-होस्टेड वेब एप्लिकेशन है। यह भेद्यता 'document_repository' मॉड्यूल के बैकएंड एंडपॉइंट में मौजूद है। यद्यपि फ्रंटएंड फ़ाइल एक्सेस को प्रतिबंधित करता है, बैकएंड एक्सेस अनुमतियों को सही ढंग से सत्यापित नहीं करता है। यह एक हमलावर को फ़ाइल नाम को जानकर या अनुमान लगाकर उन फ़ाइलों को डाउनलोड करने की अनुमति देता है जिन तक उसकी पहुंच नहीं होनी चाहिए। यह सुरक्षा दोष संवेदनशील अनुसंधान डेटा की गोपनीयता से समझौता कर सकता है, खासकर यदि फ़ाइलों में रोगी की व्यक्तिगत जानकारी या प्रारंभिक गोपनीय परिणाम शामिल हैं। CVSS पैमाने पर इस भेद्यता की गंभीरता को 6.3 के रूप में रेट किया गया है, जो एक मध्यम जोखिम दर्शाता है।
एक हमलावर Loris के दस्तावेज़ रिपॉजिटरी में संग्रहीत फ़ाइल नामों को जानकर या अनुमान लगाकर इस भेद्यता का फायदा उठा सकता है। भेद्यता का फायदा उठाने के लिए किसी पूर्व प्रमाणीकरण की आवश्यकता नहीं है, हालांकि हमलावर को Loris वेब इंटरफ़ेस तक पहुंच की आवश्यकता होगी। शोषण की जटिलता अपेक्षाकृत कम है, क्योंकि इसके लिए केवल फ़ाइल नाम का ज्ञान आवश्यक है। संभावित प्रभाव गोपनीय जानकारी का प्रकटीकरण है, जिससे अनुसंधान और रोगी की गोपनीयता पर गंभीर परिणाम हो सकते हैं।
Research institutions and organizations utilizing LORIS for neuroimaging data management are at risk. Specifically, deployments with less stringent file access controls or those running vulnerable versions of LORIS are particularly susceptible. Shared hosting environments where multiple users share the same LORIS instance should be prioritized for patching.
• linux / server: Monitor LORIS application logs for unusual file access attempts or errors related to file permissions. Use journalctl -u loris to filter for relevant events.
• generic web: Monitor web server access logs for requests targeting files within the document repository, particularly those with unusual extensions or patterns. Use grep 'LORISDOCUMENTREPOSITORY' /var/log/apache2/access.log to identify potential exploitation attempts.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान Loris को संस्करण 27.0.3 या उच्चतर, या संस्करण 28.0.1 में अपडेट करना है। इन संस्करणों में बैकएंड पर एक्सेस अनुमतियों को सही ढंग से सत्यापित करने वाले फिक्स शामिल हैं, जिससे अनधिकृत फ़ाइल एक्सेस का जोखिम कम हो जाता है। अनुसंधान डेटा की सुरक्षा के लिए इस अपडेट को जल्द से जल्द लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, संवेदनशील फ़ाइलों तक केवल अधिकृत उपयोगकर्ताओं की पहुंच सुनिश्चित करने के लिए Loris के भीतर एक्सेस अनुमति कॉन्फ़िगरेशन की समीक्षा करें। सिस्टम लॉग की निगरानी संदिग्ध गतिविधि के लिए भी संभावित हमलों का पता लगाने और रोकने में मदद कर सकती है।
Actualice LORIS a la versión 27.0.3 o superior, o a la versión 28.0.1 o superior. Estas versiones corrigen la vulnerabilidad al verificar correctamente los permisos de acceso en el backend del repositorio de documentos, evitando que los usuarios descarguen archivos a los que no deberían tener acceso.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
21.0.0 (अनन्य) से 27.0.3 (अनन्य) के बीच के Loris संस्करण, साथ ही संस्करण 28.0.0 इस भेद्यता के प्रति संवेदनशील हैं।
आप जिस Loris संस्करण का उपयोग कर रहे हैं, उसे जांचें। यदि यह 27.0.3 या 28.0.1 से पहले का संस्करण है, तो आपका इंस्टॉलेशन कमजोर है।
यदि आप तुरंत Loris को अपडेट नहीं कर सकते हैं, तो अतिरिक्त सुरक्षा उपाय करने पर विचार करें, जैसे कि नेटवर्क एक्सेस को प्रतिबंधित करना और सिस्टम लॉग की निगरानी करना।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। हालाँकि, आप Loris के पुराने संस्करणों की पहचान करने के लिए वेब भेद्यता स्कैनिंग टूल का उपयोग कर सकते हैं।
आप Loris सपोर्ट टीम से संपर्क कर सकते हैं या अधिक जानकारी के लिए Loris के आधिकारिक दस्तावेज़ देख सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।