-
小提醒:
Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞Clash for Windows 的开发者确认了一个被反馈的远程代码执行漏洞,包括最新的 CFW 版本和所有支持 rule-providers path 的第三方客户端受影响。
GitHub 用户 LDAx2012 说,当受攻击者订阅了一个恶意链接,订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖,cfw-setting.yaml 中 parsers 的 js代码将会被执行。
该漏洞还在修复中,普通用户应该更换客户端或避免使用不可靠来源的订阅。
– 漏洞细节:
[Bug]: Remote Code Execution/远程代码执行 · Issue #3891 · Fndroid/clash_for_windows_pkg
You can’t perform that action at this time. You signed in with another tab or window. You signed out in another tab or window. Reload to refresh your session. Reload to refresh your session.
– PoC:
No Title
No Description