Platform
php
Component
loris
Opgelost in
15.10.1
28.0.1
CVE-2026-35403 describes a cross-site scripting (XSS) vulnerability discovered in LORIS, a self-hosted web application for neuroimaging research. This flaw allows attackers to inject malicious scripts if a user is tricked into following a specially crafted link containing an invalid visit label. The vulnerability impacts LORIS versions 15.10 through 28.0.0 (excluding 28.0.1) and has been resolved in version 27.0.3.
CVE-2026-35403 in Loris beïnvloedt versies vanaf 15.10 tot en met, maar exclusief, 27.0.3 en 28.0.1. Het maakt een Cross-Site Scripting (XSS)-aanval mogelijk binnen de module 'survey_accounts' als een gebruiker een ongeldig bezoeklabel invoert. Hoewel de gegevens correct als JSON worden gecodeerd, zorgt het ontbreken van een correcte 'Content-Type'-header ervoor dat de webbrowser de payload interpreteert als HTML. Dit kan een aanvaller in staat stellen kwaadaardige scripts in de webpagina te injecteren, die in de context van de geauthenticeerde gebruiker worden uitgevoerd. Mogelijke gevolgen zijn onder meer diefstal van sessiecookies, doorverwijzing naar kwaadaardige websites en manipulatie van de gebruikersinterface, waardoor de vertrouwelijkheid, integriteit en beschikbaarheid van neuroimaging-onderzoeksgegevens in gevaar komen.
De kwetsbaarheid wordt geactiveerd door een ongeldig bezoeklabel in de module 'survey_accounts' te verstrekken. Een aanvaller kan deze invoer manipuleren om kwaadaardige JavaScript-code te injecteren. Omdat Loris een zelf-gehoste applicatie is, is de blootstelling aan deze kwetsbaarheid afhankelijk van de netwerkconfiguratie en de geïmplementeerde beveiligingsmaatregelen. Als de applicatie zonder adequate bescherming vanaf internet toegankelijk is, is het risico op exploitatie groter. Het ontbreken van een geschikte 'Content-Type'-header is de belangrijkste factor die de exploitatie van deze kwetsbaarheid mogelijk maakt, omdat de webbrowser de JSON-gegevens verkeerd interpreteert als HTML.
Research institutions and laboratories utilizing LORIS for neuroimaging data management are at risk. Specifically, organizations running LORIS versions 15.10 through 28.0.0 (excluding 28.0.1) are vulnerable. Shared hosting environments where multiple users have access to the LORIS application are also at increased risk.
• php: Examine LORIS application logs for unusual activity or suspicious URL parameters containing potentially malicious JavaScript code. Use grep to search for patterns like <script> or javascript: in request parameters.
grep -i '<script' /var/log/apache2/access.log• generic web: Monitor access logs for requests to the survey_accounts module with unusual or malformed visit label parameters. Use curl to test the endpoint with a crafted payload and observe the response.
curl -X GET 'http://loris.example.com/survey_accounts?visit_label=<script>alert("XSS")</script>' -sdisclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De oplossing om CVE-2026-35403 te mitigeren is om Loris bij te werken naar versie 27.0.3 of hoger, of naar versie 28.0.1. Deze versies bevatten een correctie die de 'Content-Type'-header correct instelt, waardoor de webbrowser voorkomt dat de JSON-payload verkeerd wordt geïnterpreteerd als HTML. Het wordt aanbevolen om deze update zo snel mogelijk toe te passen, vooral in omgevingen waar de beveiliging van onderzoeksgegevens cruciaal is. Bekijk en versterk bovendien het applicatiebeveiligingsbeleid, inclusief de validatie van gebruikersinvoer en de implementatie van aanvullende beveiligingsmaatregelen om XSS-aanvallen te voorkomen.
Actualice el módulo survey_accounts a la versión 27.0.3 o superior, o a la versión 28.0.1. Esta actualización corrige la vulnerabilidad de XSS al asegurar que el encabezado Content-Type se establezca correctamente, evitando que el navegador interprete la carga útil como HTML.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een XSS-aanval (Cross-Site Scripting) stelt een aanvaller in staat kwaadaardige scripts in webpagina's te injecteren die door andere gebruikers worden bekeken. Deze scripts kunnen vertrouwelijke informatie stelen, doorverwijzen naar kwaadaardige websites of het uiterlijk van de pagina wijzigen.
Het bijwerken naar versie 27.0.3 of hoger corrigeert de XSS-kwetsbaarheid en beschermt uw onderzoeksgegevens tegen potentiële aanvallen.
Als u niet onmiddellijk kunt bijwerken, overweeg dan om aanvullende beveiligingsmaatregelen te implementeren, zoals een webapplicatiefirewall (WAF), om het risico te beperken.
Controleer de versie van Loris die u gebruikt. Als deze ouder is dan 27.0.3 of 28.0.1, is deze kwetsbaar voor deze kwetsbaarheid.
U kunt meer informatie over deze kwetsbaarheid vinden in kwetsbaarheidsdatabases, zoals de National Vulnerability Database (NVD) van NIST.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.