Clash For Windows被曝出远程代码执行漏洞

软件版本

0.20.12

操作系统

Windows x64

系统版本

Windows 11

问题描述

Windows 上的 clash_for_windows 在 0.20.12 在订阅一个恶意链接时存在远程命令执行漏洞。因为对订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖,cfw-setting.yaml 中 parsers 的 js代码将会被执行。

A remote command execution vulnerability exists in clash_for_windows on Windows 0.20.12 when subscribing to an attacker’s link. cfw-setting.yaml can be overwritten due to unsafe processing of the path of rule-providers in the subscription file, and the js code of parsers in cfw-setting.yaml will be executed.

信息来源:https://github.com/Fndroid/clash_for_windows_pkg/issues/3891

赞(0)
未经允许不得转载:cootechs » Clash For Windows被曝出远程代码执行漏洞
分享到: (0)
创建了一个TG上网冲浪群,离开局域网,分享更大的世界,点击加入

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址