Vulnerabilidad en LORIS (CVE-2026-26984)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
25/02/2026
Última modificación:
05/03/2026
Descripción
LORIS (Longitudinal Online Research and Imaging System) es una aplicación web autoalojada que proporciona gestión de datos y proyectos para la investigación en neuroimagen. Antes de las versiones 26.0.5, 27.0.2 y 28.0.0, un usuario autenticado con privilegios suficientes puede explotar una vulnerabilidad de salto de ruta para cargar un archivo malicioso en una ubicación arbitraria en el servidor. Una vez cargado, el archivo puede usarse para lograr la ejecución remota de código (RCE). Un atacante debe estar autenticado y tener los permisos apropiados para explotar este problema. Si el servidor está configurado como de solo lectura, la ejecución remota de código (RCE) no es posible; sin embargo, la carga del archivo malicioso aún puede ser factible. Este problema está solucionado en LORIS v26.0.5 y superiores, v27.0.2 y superiores, y v28.0.0 y superiores. Como solución alternativa, los administradores de LORIS pueden deshabilitar el módulo de medios si no se está utilizando.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mcgill:loris:*:*:*:*:*:*:*:* | 26.0.5 (excluyendo) | |
| cpe:2.3:a:mcgill:loris:*:*:*:*:*:*:*:* | 27.0.0 (incluyendo) | 27.0.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página