Forwarded from LoopDNS资讯播报
重要: Clash for Windows存在远程代码执行漏洞,可能存在恶意代码执行风险及目录穿越问题
影响版本:0.20.12 及以下切使用 CFW 用户[包括支持 rule-providers path 的第三方客户端]
风险等级:一般[执行操作需要用户手动订阅完成,但可能存在恶意引导问题]
处置建议:用户应当清楚自己的订阅文件内容,且是由可信来源获取,并已对此进行了审核,
本次漏洞为 Clash 对于订阅文件中的 rule-providers 的 path 的不安全处理出现了目录穿越问题,同时导致 cfw-setting.yaml 会被覆盖,且 cfw-setting.yaml 中 parsers 的 js代码将会被执行
注:开发团队已经被告知该问题,且正在考虑如何着手修改。普通用户不应当订阅来自互联网上的不明订阅链接,其中很可能被插入恶意代码,特别是在较新版本后客户端支持在 parser 中执行 js 代码[对于配置文件进行预处理]
影响版本:0.20.12 及以下切使用 CFW 用户[包括支持 rule-providers path 的第三方客户端]
风险等级:一般[执行操作需要用户手动订阅完成,但可能存在恶意引导问题]
处置建议:用户应当清楚自己的订阅文件内容,且是由可信来源获取,并已对此进行了审核,
本次漏洞为 Clash 对于订阅文件中的 rule-providers 的 path 的不安全处理出现了目录穿越问题,同时导致 cfw-setting.yaml 会被覆盖,且 cfw-setting.yaml 中 parsers 的 js代码将会被执行
注:开发团队已经被告知该问题,且正在考虑如何着手修改。普通用户不应当订阅来自互联网上的不明订阅链接,其中很可能被插入恶意代码,特别是在较新版本后客户端支持在 parser 中执行 js 代码[对于配置文件进行预处理]
LoopDNS资讯播报
重要: Clash for Windows存在远程代码执行漏洞,可能存在恶意代码执行风险及目录穿越问题 影响版本:0.20.12 及以下切使用 CFW 用户[包括支持 rule-providers path 的第三方客户端] 风险等级:一般[执行操作需要用户手动订阅完成,但可能存在恶意引导问题] 处置建议:用户应当清楚自己的订阅文件内容,且是由可信来源获取,并已对此进行了审核, 本次漏洞为 Clash 对于订阅文件中的 rule-providers 的 path 的不安全处理出现了目录穿越问题,同时导致…
本站近期已有用户中招,完全删除所有配置文件后重新配置即可,请您注意是否有异常上传流量。
#活动提醒
在新的一年里祝愿大家:
玉兔迎春,好運年增。
新春開運,鴻兔大展。
福兔綿延,年富一年。
特此为大家准备了7折优惠码HappyNewYear(可用次数30次)
8折优惠码:HappyNewYear2023 不限次数
充值活动: 充值100元赠送8元.以此类推.上不封顶 充值后请发工单添加余额
以上活动截止日期27日00:00
在新的一年里祝愿大家:
玉兔迎春,好運年增。
新春開運,鴻兔大展。
福兔綿延,年富一年。
特此为大家准备了7折优惠码HappyNewYear(可用次数30次)
8折优惠码:HappyNewYear2023 不限次数
充值活动: 充值100元赠送8元.以此类推.上不封顶 充值后请发工单添加余额
以上活动截止日期27日00:00
🔥2👍1