代理工具 Clash Verge 客户端出现新的 1-Click 远程代码执行漏洞

2025年5月24日05:12:42评论5 views字数 439阅读1分27秒阅读模式

代理工具 Clash Verge 客户端出现新的 1-Click 远程代码执行漏洞，访问特制的恶意网页即可触发本地文件写入，进一步利用各种软件的插件加载机制将文件写入扩展至 REC 漏洞。

该漏洞影响 Clash Verge 最新版 (v2.2.4 alpha)，漏洞原因则是 Clash Verge Rev 的默认配置问题，在默认配置下，客户端会在本地 127.0.0.1:9097 开启一个未经验证的 API 服务接口，该接口还存在 CORS 跨域资源共享问题。

当用户运行并打开特制的恶意网站时，网站代码可以和这个 API 通信并修改 Clash 核心的配置文件，通过配置文件中的特定字段绕过路径检查实现本地写入，再利用插件机制部署插件后实现后阶段的 RCE。

1、打开 Clash Verge 点击设置、Clash 设置、外部控制、添加密码验证。

原文始发于微信公众号（毅心安全）：代理工具 Clash Verge 客户端出现新的 1-Click 远程代码执行漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

本文由 admin 发表于 2025年5月24日05:12:42
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
代理工具 Clash Verge 客户端出现新的 1-Click 远程代码执行漏洞http://cn-sec.com/archives/4093221.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

Grafana 紧急提前修复已被公开的XSS 0day漏洞