MEDIUMCVE-2026-35403CVSS 6.5

LORIS 在 survey_accounts 模块存在潜在的跨站脚本漏洞

Q: CVE-2026-35403 是什么 — LORIS 中的 Cross-Site Scripting (XSS)？

XSS（跨站脚本）攻击允许攻击者将恶意脚本注入到其他用户查看的 Web 页面中。这些脚本可以窃取敏感信息、重定向到恶意网站或修改页面的外观。

Q: LORIS 中的 CVE-2026-35403 是否会影响我？

升级到 27.0.3 或更高版本可以修复 XSS 漏洞并保护您的研究数据免受潜在攻击。

Q: 如何修复 LORIS 中的 CVE-2026-35403？

如果您无法立即更新，请考虑实施其他安全措施，例如 Web 应用程序防火墙 (WAF)，以降低风险。

Q: CVE-2026-35403 是否正在被积极利用？

检查您使用的 Loris 版本。如果它早于 27.0.3 或 28.0.1，则容易受到此漏洞。

Q: 在哪里可以找到 LORIS 关于 CVE-2026-35403 的官方安全通告？

您可以在漏洞数据库中找到有关此漏洞的更多信息，例如 NIST 的国家漏洞数据库 (NVD)。

平台

php

组件

loris

修复版本

15.10.1

28.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-35403 是 LORIS (Longitudinal Online Research and Imaging System) 系统中的一个跨站脚本攻击 (XSS) 漏洞。该漏洞允许攻击者通过构造恶意链接，在用户不知情的情况下执行恶意脚本，可能导致敏感信息泄露或会话劫持。该漏洞影响 LORIS 版本 15.10 到 28.0.0 (不含 28.0.1)。该漏洞已在 LORIS 27.0.3 版本中修复。

影响与攻击场景

Loris 中的 CVE-2026-35403 漏洞影响了 15.10 到 27.0.3 之前的版本，以及 28.0.1 之前的版本。如果用户提供无效的访问标签，则它允许在 'survey_accounts' 模块中发生跨站脚本攻击 (XSS)。虽然数据被正确 JSON 编码，但缺少正确的 'Content-Type' 标头会导致 Web 浏览器将有效负载解释为 HTML。这可能允许攻击者将恶意脚本注入到 Web 页面中，这些脚本将在经过身份验证的用户上下文中执行。潜在的影响包括窃取会话 Cookie、重定向到恶意网站以及操纵用户界面，从而危及神经影像研究数据的机密性、完整性和可用性。

利用背景

通过在 'survey_accounts' 模块中提供无效的访问标签来触发此漏洞。攻击者可以操纵此输入以注入恶意 JavaScript 代码。由于 Loris 是一个自托管应用程序，因此对该漏洞的暴露取决于网络配置和已实施的安全措施。如果应用程序在没有适当保护的情况下从互联网上访问，则被利用的风险更高。缺少适当的 'Content-Type' 标头是使此漏洞能够被利用的关键因素，因为浏览器会将 JSON 数据错误地解释为 HTML。

哪些人处于风险中翻译中…

Research institutions and laboratories utilizing LORIS for neuroimaging data management are at risk. Specifically, organizations running LORIS versions 15.10 through 28.0.0 (excluding 28.0.1) are vulnerable. Shared hosting environments where multiple users have access to the LORIS application are also at increased risk.

检测步骤翻译中…

• php: Examine LORIS application logs for unusual activity or suspicious URL parameters containing potentially malicious JavaScript code. Use grep to search for patterns like <script> or javascript: in request parameters.

grep -i '<script' /var/log/apache2/access.log

• generic web: Monitor access logs for requests to the survey_accounts module with unusual or malformed visit label parameters. Use curl to test the endpoint with a crafted payload and observe the response.

curl -X GET 'http://loris.example.com/survey_accounts?visit_label=<script>alert("XSS")</script>' -s

攻击时间线

2026-04-08Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.03% (9% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件loris

供应商aces

影响范围修复版本

>= 15.10, < 27.0.3 – >= 15.10, < 27.0.315.10.1

>= 28.0.0, < 28.0.1 – >= 28.0.0, < 28.0.128.0.1

弱点分类 (CWE)

CWE-79

时间线

已保留2026-04-02
发布日期2026-04-08
修改日期2026-04-10
EPSS 更新日期2026-04-16

缓解措施和替代方案

减轻 CVE-2026-35403 的解决方案是将 Loris 更新到 27.0.3 或更高版本，或 28.0.1 版本。这些版本包含一个修复程序，该修复程序正确设置 'Content-Type' 标头，从而防止 Web 浏览器错误地将 JSON 有效负载解释为 HTML。建议尽快应用此更新，尤其是在研究数据安全至关重要的环境中。此外，请审查和加强应用程序安全策略，包括用户输入验证以及实施其他安全措施以防止 XSS 攻击。

修复方法翻译中…

Actualice el módulo survey_accounts a la versión 27.0.3 o superior, o a la versión 28.0.1. Esta actualización corrige la vulnerabilidad de XSS al asegurar que el encabezado Content-Type se establezca correctamente, evitando que el navegador interprete la carga útil como HTML.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-35403 是什么 — LORIS 中的 Cross-Site Scripting (XSS)？