安全研究

安全漏洞
Locker Project Locker跨站脚本漏洞(CVE-2026-3951)

发布日期:2026-03-11
更新日期:2026-06-16

受影响系统:
The Locker Project Locker 0.1.0
The Locker Project Locker 0.0.1
The Locker Project Locker 0.0.0
描述:
CVE(CAN) ID: CVE-2026-3951

Locker是The Locker Project开源的一个个人数据聚合与管理平台。
Locker 0.0.0版本、0.0.1版本和0.1.0版本存在代码注入漏洞,该漏洞源于程序在处理身份校验错误响应时,未对外部传入的ID参数进行HTML转义、特殊字符过滤,直接将参数原样渲染输出到前端页面,攻击者可利用该漏洞传入恶意HTML/JS代码的ID值,页面加载时会直接执行恶意脚本。

<**>

建议:
厂商补丁:

The Locker Project
------------------
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://github.com/LockerProject/Locker/issues/963#issue-3988004027

浏览次数:33
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障