【安全通报】Clash For Windows 远程代码执行漏洞

logo_20220225173225.png

近日,Github上曝光了Clash For Windows开源代理工具的远程代码执行漏洞。据了解该漏洞利用细节及漏洞利用代码已在网络上公开,其可能已被在野利用。

漏洞描述

Clash For Windows 是一款基于 Clash 的代理客户端,其广泛应用于 Windows 与 Mac 操作系统。

漏洞危害

该产品在代理规则配置文件中未设置严格的输入检测,攻击者可通过构造代理配置文件中的 XSS Payload 来执行任意 javascript 命令。

漏洞复现

目前白帽汇漏洞研究院已通过漏洞复现证明该漏洞存在。

product20220225.png

影响范围

影响范围:All versions before v0.19.9

据公开信息表示,在v0.19.9之前的所有版本都会受到影响。

修复建议

参考漏洞影响范围,开发者已发布更新,请下载最新版本以修复该漏洞:https://github.com/Fndroid/clash_for_windows_pkg/releases/tag/0.19.9

product20220225.png

参考

[1] https://github.com/Fndroid/clash_for_windows_pkg/issues/2710

[2] https://github.com/Fndroid/clash_for_windows_pkg/releases/tag/0.19.9


白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐