全球主机交流论坛
标题:
clash.meta 路径穿越漏洞还没有修复 请速速更改端口
[打印本页]
作者:
Cuchemist
时间:
2023-6-4 13:25
标题:
clash.meta 路径穿越漏洞还没有修复 请速速更改端口
继clash windows端的RCE洞后,
clash之后又爆出路径穿越漏洞,这次是全平台。clash已经在之后修复了这个漏洞,但clashmeta迄今为止仍未修复。
简单说明下:
用户点击一个网址,就能悄无声息的通过cors调用restful API下载配置本到本地,其中也可以包含其他文件,比如powershell脚本,这本来问题也不大,但路径穿越漏洞可以让文件被下载到任何地上,比如windows自启目录。于是就能通过过cors实施跨域攻击了。
而且因为这其实是调用restful api接口,如果你是公网,连网址都不点,就可能直接成肉鸡了。
解决办法很简单,
1.安装杀软 这种高危行为通常会被识别。
2.更新clash内核 新版已经修复
3.如果是clash meta,虽然尚未修复。但是既然是调用了restful api,那修改外部控制端口就行了,如果是公网怕人扫,连带授权密码也改了就好、
作者:
冲浪麦浪花郎
时间:
2023-6-4 13:30
已阅
作者:
zhouktv1
时间:
2023-6-4 13:59
不良林?
Send by Discuz x Reader
作者:
Cuchemist
时间:
2023-6-5 23:26
zhouktv1 发表于 2023-6-4 13:59
不良林?
Send by Discuz x Reader
对 就是他说的这个漏洞
作者:
shunglay
时间:
2023-6-17 10:52
不用clash
作者:
不正常人类研究
时间:
2023-6-17 13:56
是不是外部控制端口只监听127就没问题了
欢迎光临 全球主机交流论坛 (https://loc.xiu.ee/)
Powered by Discuz! X3.4