प्लेटफ़ॉर्म
php
घटक
loris
में ठीक किया गया
27.0.4
28.0.1
CVE-2026-35169 एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो LORIS (Longitudinal Online Research and Imaging System) में पाई गई है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट चलाने या अनधिकृत फ़ाइलों को डाउनलोड करने की अनुमति दे सकती है, जिससे डेटा चोरी या सिस्टम समझौता हो सकता है। यह भेद्यता LORIS के संस्करण 27.0.0 से लेकर 28.0.1 तक के संस्करणों को प्रभावित करती है। संस्करण 27.0.3 या 28.0.1 में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह XSS भेद्यता LORIS उपयोगकर्ताओं के लिए गंभीर जोखिम पैदा करती है। एक हमलावर दुर्भावनापूर्ण लिंक के माध्यम से स्क्रिप्ट इंजेक्ट कर सकता है, जो उपयोगकर्ता के ब्राउज़र में निष्पादित होगी। इससे हमलावर उपयोगकर्ता के सत्र को हाईजैक कर सकता है, संवेदनशील जानकारी चुरा सकता है, या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकता है। इसके अतिरिक्त, हमलावर अनधिकृत फ़ाइलों को डाउनलोड करने में सक्षम हो सकता है, जिससे सिस्टम की सुरक्षा से समझौता हो सकता है। इस भेद्यता का उपयोग डेटा चोरी, फ़िशिंग हमलों और सिस्टम नियंत्रण के लिए किया जा सकता है।
CVE-2026-35169 को अभी तक सक्रिय रूप से शोषण करने के कोई ज्ञात अभियान नहीं हैं। हालांकि, सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का शोषण करना आसान बना सकते हैं। यह भेद्यता CISA KEV सूची में शामिल नहीं है। NVD में प्रकाशन तिथि 2026-04-08 है।
Research institutions and laboratories utilizing LORIS to manage neuroimaging data are at significant risk. Organizations with legacy LORIS deployments or those that have not implemented robust input validation practices are particularly vulnerable. Shared hosting environments where multiple LORIS instances reside on the same server could also be affected, as a successful attack on one instance could potentially compromise others.
• php: Examine LORIS application logs for suspicious requests containing <script> tags or other XSS payloads within the help_editor module.
grep -i '<script' /var/log/loris/application.log• generic web: Use curl to test for XSS by injecting a simple payload into a parameter handled by the help_editor module and observing the response for script execution.
curl 'http://loris-server/help_editor?input=<script>alert(1)</script>' • generic web: Check access logs for unusual user agent strings or referral URLs associated with requests to the help_editor module.
disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVE-2026-35169 को कम करने के लिए, LORIS को तुरंत संस्करण 27.0.3 या 28.0.1 में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके दुर्भावनापूर्ण स्क्रिप्ट को ब्लॉक किया जा सकता है। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को मजबूत करके LORIS के कॉन्फ़िगरेशन को सुरक्षित करना भी महत्वपूर्ण है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, सिस्टम का परीक्षण करें।
Actualice el módulo LORIS a la versión 27.0.3 o superior, o a la versión 28.0.1 o superior. Estas versiones corrigen la vulnerabilidad de XSS y la posibilidad de descarga de archivos markdown arbitrarios al no sanitizar correctamente las entradas del usuario.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-35169 LORIS में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट चलाने की अनुमति देती है।
यदि आप LORIS के संस्करण 27.0.0 से 28.0.1 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
LORIS को संस्करण 27.0.3 या 28.0.1 में अपडेट करें।
अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन सार्वजनिक PoC मौजूद हो सकते हैं।
कृपया LORIS सुरक्षा सलाहकार के लिए आधिकारिक वेबसाइट देखें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।