Clash For Windows 存在严重漏洞

admin
admin
admin
102358
文章
87
评论
2022年2月26日02:41:18评论2,111 views字数 406阅读1分21秒阅读模式

crash_for_windows_pkg 远程代码执行

漏洞描述

根据 Github 提交的 issue,漏洞已经在两天前上报,clash for windows 允许 xss 载荷以代理的名义提交,并不会对代理内容进行检测,可以执行任何的 JavaScript 代码

影响版本

版本:0.19.9 和0.19.9 之前的版本(只对window产生影响)

验证

POC 查看参考

导入 clash

Clash For Windows 存在严重漏洞

选择 proxies

Clash For Windows 存在严重漏洞

经过复现,证明确实漏洞存在

Clash For Windows 存在严重漏洞

修复建议

Clash For Windows 存在严重漏洞

参考漏洞影响范围,开发者已发布更新

请下载最新版本以修复该漏洞:https://github.com/Fndroid/clash_for_windows_pkg/releases/tag/0.19.10

参考

[1] https://github.com/Fndroid/clash_for_windows_pkg/issues/2710


原文始发于微信公众号(石头安全):Clash For Windows 存在严重漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年2月26日02:41:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Clash For Windows 存在严重漏洞http://cn-sec.com/archives/804409.html

发表评论

匿名网友 填写信息