关键漏洞信息 漏洞名称 Stored XSS in Web Share Interface via Filename 漏洞描述 在用户启动“通过链接共享”会话时,LocalSend 应用程序会启动一个本地HTTP服务器来托管选定的文件。Web界面的客户端逻辑在 中有部分处理文件列表显示功能,该函数会直接将文件名拼接到HTML字符串中,不进行任何转义或编码,从而通过 属性渲染到DOM元素中,导致XSS攻击。 漏洞细节 1. 受影响版本:<=v1.17.0 2. 漏洞代码示例: 直接拼接到HTML字符串中,未进行任何安全处理。 3. 文件名来源: 的值来源于 API端点,在 中处理。 复现步骤 1. 创建一个文件,命名包含恶意payload,如 。 2. 打开LocalSend应用,选择需要共享的文件。 3. 选择“Share via Link”模式。 4. 通过提供的链接访问,如 。 5. 观察浏览器中出现的弹窗框。 漏洞评分 严重性:6.1 / 10 CVSS v3 base metrics: - Attack Vector: Network - Attack Complexity: Low - Privileges Required: None - User Interaction: Required - Scope: Changed - Confidentiality: Low - Integrity: Low - Availability: None CVE ID CVE-2026-25154 弱点类别 CWE-79 报告者 veygax's insomnia