Clash Verge 客户端出现新的 1-Click 远程代码执行漏洞

pbby · 发表于 2025-5-23 09:22:43

登录后免广告，享受更多奶昔会员权益！

您需要登录才可以下载或查看，没有账号？注册

×

代理工具 Clash Verge 客户端出现新的 1-Click 远程代码执行漏洞，访问特制的恶意网页即可触发本地文件写入，进一步利用各种软件的插件加载机制将文件写入扩展至 REC 漏洞。

该漏洞影响 Clash Verge 最新版 (v2.2.4 alpha)，漏洞原因则是 Clash Verge Rev 的默认配置问题，在默认配置下，客户端会在本地 127.0.0.1:9097 开启一个未经验证的 API 服务接口，该接口还存在 CORS 跨域资源共享问题。

当用户运行并打开特制的恶意网站时，网站代码可以和这个 API 通信并修改 Clash 核心的配置文件，通过配置文件中的特定字段绕过路径检查实现本地写入，再利用插件机制部署插件后实现后阶段的 RCE。

临时修复方法：
打开 Clash Verge 点击设置、Clash 设置、外部控制、添加密码验证。

消息源：https://zyen84kyvn.feishu.cn/docx/PXu6dsXf0onNdRxs8LfceNXjncb

asla · 发表于 2025-5-23 10:03:12

之前曝出本地漏洞，现在又来了个远程漏洞，是不是要开始寻找平替了

Billyham · 发表于 2025-5-23 10:40:20

持续关注

[安全] Clash Verge 客户端出现新的 1-Click 远程代码执行漏洞

登录后免广告，享受更多奶昔会员权益！

浏览过的版块

相关网站

站内导航

站务支持