近日,Github上曝光了Clash For Windows开源代理工具的远程代码执行漏洞。据了解该漏洞利用细节及漏洞利用代码已在网络上公开,其可能已被在野利用。
漏洞描述
Clash For Windows 是一款基于 Clash 的代理客户端,其广泛应用于 Windows 与 Mac 操作系统。
漏洞危害
该产品在代理规则配置文件中未设置严格的输入检测,攻击者可通过构造代理配置文件中的 XSS Payload 来执行任意 javascript 命令。
漏洞复现
目前白帽汇漏洞研究院已通过漏洞复现证明该漏洞存在。
影响范围
影响范围:All versions before v0.19.9
据公开信息表示,在v0.19.9之前的所有版本都会受到影响。
修复建议
参考漏洞影响范围,开发者已发布更新,请下载最新版本以修复该漏洞:https://github.com/Fndroid/clash_for_windows_pkg/releases/tag/0.19.9
参考
[1] https://github.com/Fndroid/clash_for_windows_pkg/issues/2710
[2] https://github.com/Fndroid/clash_for_windows_pkg/releases/tag/0.19.9
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。