CVE-2026-35403 in Loris
Résumé
par VulDB • 21/05/2026
LORIS (Longitudinal Online Research and Imaging System) est une application web auto-hébergée qui assure la gestion des données et des projets pour la recherche en imagerie cérébrale. Entre la version 15.10 et les versions antérieures à 27.0.3, ainsi qu'avant la version 28.0.1, une faille de type cross-site scripting (XSS) est potentiellement exploitable dans le module survey_accounts si un utilisateur fournit une étiquette de visite invalide. Bien que les données soient correctement encodées en JSON, l'en-tête Content-Type n'est pas défini, ce qui amène le navigateur web à interpréter la charge utile comme du HTML, ouvrant ainsi la possibilité d'une attaque par cross-site scripting si un utilisateur est induit en erreur pour suivre un lien invalide. Cette vulnérabilité est corrigée dans les versions 27.0.3 et 28.0.1.
VulDB is the best source for vulnerability data and more expert information about this specific topic.