セキュリティポータルに戻る
Reflected cross-site scripting (XSS) vulnerability on connect.trezor.io via hash fragment script injection
報告日:March 25, 2026
A vulnerability was discovered in the documentation endpoint of Trezor Connect, where a URL parameter could be abused to load and execute arbitrary JavaScript within the trusted domain. This issue resulted in a reflected cross-site scripting (XSS) vulnerability, allowing malicious scripts to run in the context of the official site.
報告者 Vipul Sahu
修正済みの脆弱性
コミュニティからの報告により、調査を行い、問題を解決しました。あなたのセキュリティは常に最優先です。
- Open redirect on affiliate page2026年3月20日
- Biometric Verification bypassed in Trezor Suite with external monitor2026年3月9日
- Insufficient entropy on Trezor Model One with 12/18 words2026年2月6日
- Bug in multisig verification2026年1月10日
- Inability to cancel certain flows on pre-production firmware2025年10月31日
- Fix side-channel in BIP-39 mnemonic processing when unlocked2025年9月24日