crash_for_windows_pkg 远程代码执行
漏洞描述
根据 Github 提交的 issue,漏洞已经在两天前上报,clash for windows 允许 xss 载荷以代理的名义提交,并不会对代理内容进行检测,可以执行任何的 JavaScript 代码
影响版本
版本:0.19.9 和0.19.9 之前的版本(只对window产生影响)
验证
POC 查看参考
导入 clash
选择 proxies
经过复现,证明确实漏洞存在
修复建议
参考漏洞影响范围,开发者已发布更新
请下载最新版本以修复该漏洞:https://github.com/Fndroid/clash_for_windows_pkg/releases/tag/0.19.10
参考
[1] https://github.com/Fndroid/clash_for_windows_pkg/issues/2710
原文始发于微信公众号(石头安全):Clash For Windows 存在严重漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论