Clash 远程命令执行漏洞，有主机上线！

这是 Clash for Windows 的漏洞，不是 Clash 的漏洞。

最新版已修复，而且漏洞应该只在 0.19.8

重新验证了下，0.19.5 可复现 issue 调用计算器。。。

自己搭的看了之后选择无视

这种漏洞有没有什么办法尽可能避免呢...

一个 name 明明就是展示字符串, 居然还能执行命令.

佩服，订阅可以投毒了

@Jooooooooo #5
1. 外部输入尽量走 escape ，比如 vue 自带的模板标签{{}}
2. browserwindow 启用 sandbox

显然作者偷懒，两个都没做

https://github.com/Fndroid/clash_for_windows_pkg/issues/2710#issuecomment-1050689930

教辅：屑是一个新时代的贬义词，指一个人或事物很垃圾，很废物。
via https://baike.baidu.com/item/%E5%B1%91/55729420

@gadfly3173 不太懂这个. 不过难道没有纯 string 这种结构吗?

@Jooooooooo #9 理论上对于 html 和 js 来说，精心构造的字符串插入页面可以绕过作者本身预期的行为，毕竟是运行时的语言。类似的就是 sql 注入。因此需要对用户输入进行转义。当然转义也可能有某些未被发现的边界情况，不过要绕过这种已经很困难了。

@gadfly3173

接受批评，但这个问题和沙盒无关，因为用 img 加载了 twitter emoji 没用 textContent 处理，确实是我的问题

@gadfly3173 至少我知道的, 在 java 里的 mybatis 框架中, 就有纯 string 这种概念, 拿到的串只有字符含义, 没有任何执行含义, 不可能发生注入.

类似这里, 本身就是个 name, 完全没有执行代码的业务可能, 赋予一个传啥展示啥的 string 含义也合理吧(我理解语言框架层面也应该去支持类似的逻辑功能)

@fndroid #11 启用 sandbox 的话应该是可以避免 child_process 的调用的吧，至少可以减少影响

@Jooooooooo #12 是的 这些都是有解决方案的，当然和 mybatis 的#{}一样，都需要去手动处理

这标题，梦回灰鸽子。

@butanediol2d 哈哈哈哈，标题党不嫌事大。
@cozof 确实，可以一键上线了

@gadfly3173
要是我自用的 electron 项目肯定不开 sandbox ，启用 sandbox 开发起来麻烦的不是一点半点，要是有 electron 的 node 模块一体化调用框架就好了

@mxT52CRuqR6o5 阿这，官方推荐还是渲染进程和主进程各干各的，不给渲染进程直接操作 node 的权利。这样也比较有分层的感觉，javaboy 还挺喜欢

梦回 灰鸽子 +1

然而我是直接用 clash 核心的 23333