Plataforma
php
Componente
loris
Corrigido em
27.0.4
28.0.1
O CVE-2026-35169 é uma vulnerabilidade de Cross-Site Scripting (XSS) presente no módulo help_editor do LORIS, um sistema web auto-hospedado para gerenciamento de dados e projetos de neuroimagem. Um atacante pode explorar essa falha para injetar scripts maliciosos se um usuário for enganado a seguir um link especialmente criado. Essa vulnerabilidade afeta as versões de LORIS entre 27.0.0 (inclusive) e 28.0.0 (exclusivo), e também a versão anterior a 28.0.1. A correção foi implementada na versão 27.0.3.
A exploração bem-sucedida do CVE-2026-35169 permite a um atacante executar código JavaScript arbitrário no contexto do navegador da vítima. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou a modificação do conteúdo da página web. Além disso, a vulnerabilidade permite o download de arquivos Markdown arbitrários do servidor, expondo potencialmente informações confidenciais armazenadas nesses arquivos. O impacto é amplificado em ambientes de pesquisa onde dados sensíveis de pacientes podem estar armazenados no LORIS.
Este CVE foi publicado em 2026-04-08. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV. A ausência de um Proof of Concept (PoC) público reduz o risco imediato, mas a natureza da vulnerabilidade XSS significa que a exploração é relativamente simples de desenvolver.
Research institutions and laboratories utilizing LORIS to manage neuroimaging data are at significant risk. Organizations with legacy LORIS deployments or those that have not implemented robust input validation practices are particularly vulnerable. Shared hosting environments where multiple LORIS instances reside on the same server could also be affected, as a successful attack on one instance could potentially compromise others.
• php: Examine LORIS application logs for suspicious requests containing <script> tags or other XSS payloads within the help_editor module.
grep -i '<script' /var/log/loris/application.log• generic web: Use curl to test for XSS by injecting a simple payload into a parameter handled by the help_editor module and observing the response for script execution.
curl 'http://loris-server/help_editor?input=<script>alert(1)</script>' • generic web: Check access logs for unusual user agent strings or referral URLs associated with requests to the help_editor module.
disclosure
patch
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2026-35169 é a atualização imediata para a versão 27.0.3 ou superior. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a validação e sanitização rigorosas de todas as entradas de usuário no módulo help_editor. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns pode ajudar a reduzir o risco. Monitore os logs do servidor em busca de padrões suspeitos de requisições que contenham código JavaScript injetado. Após a atualização, verifique se a vulnerabilidade foi corrigida tentando acessar um link malicioso e confirmando que o script não é executado.
Actualice el módulo LORIS a la versión 27.0.3 o superior, o a la versión 28.0.1 o superior. Estas versiones corrigen la vulnerabilidad de XSS y la posibilidad de descarga de archivos markdown arbitrarios al no sanitizar correctamente las entradas del usuario.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35169 is a reflected Cross-Site Scripting (XSS) vulnerability in LORIS, allowing attackers to inject malicious scripts or download arbitrary markdown files.
You are affected if you are running LORIS versions 27.0.0 through 28.0.0, excluding 28.0.1.
Upgrade LORIS to version 27.0.3 or 28.0.1. Consider WAF rules as a temporary mitigation.
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation warrants proactive mitigation.
Refer to the LORIS project's official website and security advisories for the latest information: [https://www.loris.dbmi.washington.edu/](https://www.loris.dbmi.washington.edu/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.