Platform
php
Component
loris
Opgelost in
27.0.4
28.0.1
CVE-2026-35169 beschrijft een Cross-Site Scripting (XSS) kwetsbaarheid in LORIS, een webapplicatie voor neuroimaging onderzoek. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige scripts te injecteren, mogelijk het downloaden van gevoelige markdown bestanden. De kwetsbaarheid treft LORIS versies 27.0.0 tot en met 28.0.0, exclusief 28.0.1. Een fix is beschikbaar in versie 27.0.3 en 28.0.1.
Een succesvolle exploitatie van CVE-2026-35169 kan leiden tot het uitvoeren van willekeurige JavaScript-code in de browser van een slachtoffer. Dit kan worden gebruikt om sessiecookies te stelen, gebruikers om te leiden naar kwaadaardige websites of om de gebruikersinterface van LORIS te manipuleren. Het vermogen om willekeurige markdown bestanden te downloaden vergroot de impact, omdat deze bestanden gevoelige informatie kunnen bevatten, zoals projectgegevens of onderzoeksresultaten. De kwetsbaarheid kan worden misbruikt door een aanvaller die een slachtoffer verleidt om een speciaal geconstrueerde link te volgen, waardoor de aanvaller controle kan krijgen over de browser van het slachtoffer en toegang kan krijgen tot gevoelige data.
CVE-2026-35169 is openbaar bekend en de kwetsbaarheid is beschreven in de NVD-database. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid misbruiken, maar XSS-kwetsbaarheden worden vaak misbruikt. De publicatie datum van 2026-04-08 geeft aan dat de kwetsbaarheid recentelijk is ontdekt en openbaar is gemaakt. Er zijn geen indicaties van toevoeging aan de CISA KEV catalogus.
Research institutions and laboratories utilizing LORIS to manage neuroimaging data are at significant risk. Organizations with legacy LORIS deployments or those that have not implemented robust input validation practices are particularly vulnerable. Shared hosting environments where multiple LORIS instances reside on the same server could also be affected, as a successful attack on one instance could potentially compromise others.
• php: Examine LORIS application logs for suspicious requests containing <script> tags or other XSS payloads within the help_editor module.
grep -i '<script' /var/log/loris/application.log• generic web: Use curl to test for XSS by injecting a simple payload into a parameter handled by the help_editor module and observing the response for script execution.
curl 'http://loris-server/help_editor?input=<script>alert(1)</script>' • generic web: Check access logs for unusual user agent strings or referral URLs associated with requests to the help_editor module.
disclosure
patch
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-35169 is het updaten van LORIS naar versie 27.0.3 of 28.0.1. Indien een directe upgrade niet mogelijk is, kan een Web Application Firewall (WAF) worden geconfigureerd om XSS-pogingen te blokkeren. Controleer de LORIS configuratie op onnodige functionaliteit die de aanvalsoppervlakte kan vergroten. Monitor logbestanden op verdachte patronen die wijzen op XSS-aanvallen, zoals ongebruikelijke URL's of JavaScript-code in gebruikersinvoer. Na de upgrade, bevestig de fix door te proberen een XSS payload via een ongeldige link te injecteren; dit zou moeten worden geblokkeerd.
Actualice el módulo LORIS a la versión 27.0.3 o superior, o a la versión 28.0.1 o superior. Estas versiones corrigen la vulnerabilidad de XSS y la posibilidad de descarga de archivos markdown arbitrarios al no sanitizar correctamente las entradas del usuario.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-35169 is a reflected Cross-Site Scripting (XSS) vulnerability in LORIS, allowing attackers to inject malicious scripts or download arbitrary markdown files.
You are affected if you are running LORIS versions 27.0.0 through 28.0.0, excluding 28.0.1.
Upgrade LORIS to version 27.0.3 or 28.0.1. Consider WAF rules as a temporary mitigation.
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation warrants proactive mitigation.
Refer to the LORIS project's official website and security advisories for the latest information: [https://www.loris.dbmi.washington.edu/](https://www.loris.dbmi.washington.edu/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.