近日，Github上曝光了Clash For Windows开源代理工具的远程代码执行漏洞。据了解该漏洞利用细节及漏洞利用代码已在网络上公开，其可能已被在野利用。

漏洞描述

Clash For Windows 是一款基于 Clash 的代理客户端，其广泛应用于 Windows 与 Mac 操作系统。

漏洞危害

该产品在代理规则配置文件中未设置严格的输入检测，攻击者可通过构造代理配置文件中的 XSS Payload 来执行任意 javascript 命令。

漏洞复现

目前白帽汇漏洞研究院已通过漏洞复现证明该漏洞存在。

影响范围

影响范围：All versions before v0.19.9

据公开信息表示，在v0.19.9之前的所有版本都会受到影响。

修复建议

参考漏洞影响范围，开发者已发布更新，请下载最新版本以修复该漏洞：https://github.com/Fndroid/clash_for_windows_pkg/releases/tag/0.19.9

参考

[1] https://github.com/Fndroid/clash_for_windows_pkg/issues/2710

[2] https://github.com/Fndroid/clash_for_windows_pkg/releases/tag/0.19.9

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。