LORIS 在媒体模块中存在不正确的访问检查

CVE-2026-34985 影响 Loris，一个用于神经影像研究的数据和项目管理的自托管 Web 应用程序。该漏洞存在于媒体模块中，前端正确过滤了用户不应访问的文件。但是，后端没有强制执行这些访问检查。这使得攻击者，如果知道受限文件的名称，可以访问该文件，绕过前端保护。此漏洞的 CVSS 评分为 6.3，表明存在中等风险。受影响的版本范围从 16.1.0 到 27.0.3 之前和 28.0.1。神经影像研究敏感数据的泄露可能导致严重后果。

Research institutions and laboratories utilizing LORIS for neuroimaging data management are at risk. Specifically, deployments using older versions of LORIS (16.1.0–>= 28.0.0, < 28.0.1) are vulnerable. Organizations with sensitive research data or those relying on LORIS for critical workflows should prioritize remediation.

• php: Examine LORIS application logs for unusual file access attempts, particularly those involving filenames that should be restricted. Use grep to search for patterns related to unauthorized file access within the logs. • generic web: Monitor web server access logs for requests to files that are not publicly accessible. Look for patterns suggesting attempts to access files by directly specifying their names. • database (mysql): If LORIS stores file metadata in a database, query the database for user access permissions and compare them to actual file access attempts.

1. 2026-04-08Disclosure

   disclosure

1. 已保留2026-03-31
2. 发布日期2026-04-08
3. 修改日期2026-04-10
4. EPSS 更新日期2026-04-16

此漏洞的解决方案是将 Loris 更新到 27.0.3 或更高版本，或 28.0.1 版本。这些版本包含修复程序，可确保后端强制执行与前端相同的访问检查，从而防止未经授权的文件访问。建议尽快应用此更新以降低风险。此外，请查看 Loris 中文件和文件夹的权限配置，以确保它们符合贵组织的安全性策略。监控系统日志中是否存在异常访问尝试也有助于检测和响应潜在的利用。