全球主机交流论坛

标题: clash.meta 路径穿越漏洞还没有修复请速速更改端口 [打印本页]

作者: Cuchemist 时间: 2023-6-4 13:25
标题: clash.meta 路径穿越漏洞还没有修复请速速更改端口
继clash windows端的RCE洞后，
clash之后又爆出路径穿越漏洞，这次是全平台。clash已经在之后修复了这个漏洞，但clashmeta迄今为止仍未修复。

简单说明下：
用户点击一个网址，就能悄无声息的通过cors调用restful API下载配置本到本地，其中也可以包含其他文件，比如powershell脚本，这本来问题也不大，但路径穿越漏洞可以让文件被下载到任何地上，比如windows自启目录。于是就能通过过cors实施跨域攻击了。
而且因为这其实是调用restful api接口，如果你是公网，连网址都不点，就可能直接成肉鸡了。

解决办法很简单，
1.安装杀软这种高危行为通常会被识别。
2.更新clash内核新版已经修复
3.如果是clash meta，虽然尚未修复。但是既然是调用了restful api，那修改外部控制端口就行了，如果是公网怕人扫，连带授权密码也改了就好、

作者: 冲浪麦浪花郎 时间: 2023-6-4 13:30
已阅

作者: zhouktv1 时间: 2023-6-4 13:59
不良林？

Send by Discuz x Reader

作者: Cuchemist 时间: 2023-6-5 23:26

zhouktv1 发表于 2023-6-4 13:59
不良林？

Send by Discuz x Reader

对就是他说的这个漏洞

作者: shunglay 时间: 2023-6-17 10:52
不用clash

作者: 不正常人类研究 时间: 2023-6-17 13:56
是不是外部控制端口只监听127就没问题了

欢迎光临全球主机交流论坛 (https://loc.xiu.ee/)