Clash For Windows 存在严重漏洞

admin
admin
admin
139744
文章
114
评论
2022年2月26日02:41:18评论2,204 views字数 406阅读1分21秒阅读模式

crash_for_windows_pkg 远程代码执行

漏洞描述

根据 Github 提交的 issue,漏洞已经在两天前上报,clash for windows 允许 xss 载荷以代理的名义提交,并不会对代理内容进行检测,可以执行任何的 JavaScript 代码

影响版本

版本:0.19.9 和0.19.9 之前的版本(只对window产生影响)

验证

POC 查看参考

导入 clash

Clash For Windows 存在严重漏洞

选择 proxies

Clash For Windows 存在严重漏洞

经过复现,证明确实漏洞存在

Clash For Windows 存在严重漏洞

修复建议

Clash For Windows 存在严重漏洞

参考漏洞影响范围,开发者已发布更新

请下载最新版本以修复该漏洞:https://github.com/Fndroid/clash_for_windows_pkg/releases/tag/0.19.10

参考

[1] https://github.com/Fndroid/clash_for_windows_pkg/issues/2710


原文始发于微信公众号(石头安全):Clash For Windows 存在严重漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年2月26日02:41:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Clash For Windows 存在严重漏洞https://cn-sec.com/archives/804409.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息