Vulnerabilidad en LORIS (CVE-2026-26985)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
25/02/2026
Última modificación:
05/03/2026
Descripción
LORIS (Sistema Longitudinal de Investigación y Obtención de Imágenes en Línea) es una aplicación web autoalojada que proporciona gestión de datos y proyectos para la investigación en neuroimagen. A partir de la versión 24.0.0 y antes de las versiones 26.0.5, 27.0.2 y 28.0.0, un usuario autenticado con la autorización apropiada puede leer archivos de configuración en el servidor explotando una vulnerabilidad de salto de ruta. Algunos de estos archivos contienen credenciales codificadas. La vulnerabilidad permite a un atacante leer archivos de configuración que contienen credenciales codificadas. El atacante podría entonces autenticarse en la base de datos u otros servicios si esas credenciales se reutilizan. El atacante debe estar autenticado y tener los permisos requeridos. Sin embargo, la vulnerabilidad es fácil de explotar y el código fuente de la aplicación es público. Este problema está solucionado en LORIS v26.0.5 y v27.0.2 y superiores, y v28.0.0 y superiores. Como solución alternativa, el electrophysiogy_browser en LORIS puede ser deshabilitado por un administrador usando el gestor de módulos.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mcgill:loris:*:*:*:*:*:*:*:* | 24.0.0 (incluyendo) | 26.0.5 (excluyendo) |
| cpe:2.3:a:mcgill:loris:*:*:*:*:*:*:*:* | 27.0.0 (incluyendo) | 27.0.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página