CVE-2026-35403 in Lorisinformation

Résumé

par VulDB • 21/05/2026

LORIS (Longitudinal Online Research and Imaging System) est une application web auto-hébergée qui assure la gestion des données et des projets pour la recherche en imagerie cérébrale. Entre la version 15.10 et les versions antérieures à 27.0.3, ainsi qu'avant la version 28.0.1, une faille de type cross-site scripting (XSS) est potentiellement exploitable dans le module survey_accounts si un utilisateur fournit une étiquette de visite invalide. Bien que les données soient correctement encodées en JSON, l'en-tête Content-Type n'est pas défini, ce qui amène le navigateur web à interpréter la charge utile comme du HTML, ouvrant ainsi la possibilité d'une attaque par cross-site scripting si un utilisateur est induit en erreur pour suivre un lien invalide. Cette vulnérabilité est corrigée dans les versions 27.0.3 et 28.0.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Réserver

02/04/2026

Divulgation

08/04/2026

Modérer

accepté

Entrée

VDB-356371

CPE

prêt

EPSS

0.00170

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!