Clash Verge 客户端出现新的 1-Click 远程代码执行漏洞
代理工具 Clash Verge 客户端出现新的 1-Click 远程代码执行漏洞,访问特制的恶意网页即可触发本地文件写入,进一步利用各种软件的插件加载机制将文件写入扩展至 REC 漏洞。该漏洞影响 Clash Verge 最新版 (v2.2.4 alpha),漏洞原因则是 Clash Verge Rev 的默认配置问题,在默认配置下,客户端会在本地 127.0.0.1:9097 开启一个未经验证的 API 服务接口,该接口还存在 CORS 跨域资源共享问题。
当用户运行并打开特制的恶意网站时,网站代码可以和这个 API 通信并修改 Clash 核心的配置文件,通过配置文件中的特定字段绕过路径检查实现本地写入,再利用插件机制部署插件后实现后阶段的 RCE。
临时修复方法:
打开 Clash Verge 点击设置、Clash 设置、外部控制、添加密码验证。
消息源:https://zyen84kyvn.feishu.cn/docx/PXu6dsXf0onNdRxs8LfceNXjncb 之前曝出本地漏洞,现在又来了个远程漏洞,是不是要开始寻找平替了 持续关注{tieba7}
页:
[1]