プラットフォーム
php
コンポーネント
loris
修正版
15.10.1
28.0.1
LORISは神経画像研究のためのデータおよびプロジェクト管理を行うセルフホスト型Webアプリケーションです。CVE-2026-35403は、調査アカウントモジュールにおいて、無効なvisitラベルが提供された場合にクロスサイトスクリプティング攻撃を引き起こす可能性があります。この脆弱性は、データが正しくJSONエンコードされているにもかかわらず、Content-Typeヘッダーが設定されていないことが原因です。バージョン15.10から28.0.0未満、および28.0.1が影響を受け、27.0.3で修正されました。
LorisのCVE-2026-35403脆弱性は、15.10から27.0.3未満、および28.0.1未満のバージョンに影響します。これにより、ユーザーが無効な訪問ラベルを提供した場合、'survey_accounts'モジュールでクロスサイトスクリプティング(XSS)攻撃が可能になります。データは正しくJSONエンコードされているにもかかわらず、正しい'Content-Type'ヘッダーがないため、WebブラウザはペイロードをHTMLとして解釈する可能性があります。これにより、攻撃者が認証されたユーザーのコンテキストで悪意のあるスクリプトをWebページに注入できる可能性があります。潜在的な影響には、セッションCookieの窃盗、悪意のあるWebサイトへのリダイレクト、およびユーザーインターフェースの操作が含まれ、神経画像研究データの機密性、完全性、および可用性が損なわれる可能性があります。
この脆弱性は、'survey_accounts'モジュールで無効な訪問ラベルを提供することでトリガーされます。攻撃者は、この入力を操作して悪意のあるJavaScriptコードを注入する可能性があります。Lorisはセルフホスト型アプリケーションであるため、この脆弱性への露出は、ネットワーク構成と実装されているセキュリティ対策に依存します。アプリケーションが適切な保護なしでインターネットからアクセス可能な場合、悪用されるリスクが高くなります。適切な'Content-Type'ヘッダーがないことが、この脆弱性の悪用を可能にする主な要因であり、ブラウザがJSONデータをHTMLとして誤って解釈するためです。
Research institutions and laboratories utilizing LORIS for neuroimaging data management are at risk. Specifically, organizations running LORIS versions 15.10 through 28.0.0 (excluding 28.0.1) are vulnerable. Shared hosting environments where multiple users have access to the LORIS application are also at increased risk.
• php: Examine LORIS application logs for unusual activity or suspicious URL parameters containing potentially malicious JavaScript code. Use grep to search for patterns like <script> or javascript: in request parameters.
grep -i '<script' /var/log/apache2/access.log• generic web: Monitor access logs for requests to the survey_accounts module with unusual or malformed visit label parameters. Use curl to test the endpoint with a crafted payload and observe the response.
curl -X GET 'http://loris.example.com/survey_accounts?visit_label=<script>alert("XSS")</script>' -sdisclosure
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
CVE-2026-35403を軽減するための解決策は、Lorisをバージョン27.0.3以降、またはバージョン28.0.1にアップデートすることです。これらのバージョンには、'Content-Type'ヘッダーを正しく設定し、WebブラウザがJSONペイロードをHTMLとして誤って解釈するのを防ぐ修正が含まれています。研究データのセキュリティが重要な環境では、このアップデートをできるだけ早く適用することをお勧めします。さらに、アプリケーションのセキュリティポリシーを見直し、強化し、ユーザー入力の検証やXSS攻撃を防ぐための追加のセキュリティ対策の実施などを行ってください。
Actualice el módulo survey_accounts a la versión 27.0.3 o superior, o a la versión 28.0.1. Esta actualización corrige la vulnerabilidad de XSS al asegurar que el encabezado Content-Type se establezca correctamente, evitando que el navegador interprete la carga útil como HTML.
脆弱性分析と重要アラートをメールでお届けします。
XSS(クロスサイトスクリプティング)攻撃により、攻撃者は他のユーザーが閲覧するWebページに悪意のあるスクリプトを注入できます。これらのスクリプトは、機密情報を盗んだり、悪意のあるWebサイトにリダイレクトしたり、ページの見た目を変更したりする可能性があります。
バージョン27.0.3以降にアップデートすることで、XSS脆弱性が修正され、研究データを潜在的な攻撃から保護できます。
すぐにアップデートできない場合は、Webアプリケーションファイアウォール(WAF)などの追加のセキュリティ対策を実装して、リスクを軽減することを検討してください。
使用しているLorisのバージョンを確認してください。27.0.3または28.0.1より前のバージョンを使用している場合は、この脆弱性があります。
NISTのNational Vulnerability Database(NVD)などの脆弱性データベースで、この脆弱性に関する詳細情報を入手できます。
CVSS ベクトル