Clash 远程命令执行漏洞，有主机上线！

yeqizhang

2022-02-25 21:45:29 +08:00

刚刚我的 15.1 复现可调起计算器，已经更新到最新了。还好逛了 v2 看到了爆漏洞....

x86

2022-02-25 22:00:08 +08:00

有主机上线请注意

zhou00

2022-02-25 22:04:45 +08:00

0.19.5 复现了，谢谢提醒，已更新最新版本

ignor

2022-02-25 22:10:27 +08:00

机场拿这个漏洞攻击用户相当于是砸自己招牌了吧…

mxT52CRuqR6o5

2022-02-25 22:21:33 +08:00

@ignor 机场没理由攻击，公共转换服务可是有的

Buges

2022-02-25 22:29:19 +08:00

@ignor 这算啥，留日志减刑，一言不合把用户出道的也大有人在。

CallMeReznov

2022-02-25 22:34:49 +08:00

用的 clash.net................

Love4Taylor

2022-02-25 22:43:30 +08:00

@ignor （ oneman ）机场遍地是，这还真说不好。

HFX3389

2022-02-25 22:47:10 +08:00

Clash for windows 好像是不开源的

xrzxrzxrz

2022-02-25 23:14:37 +08:00

专门试了个老版本，0.13.6 ，也有漏洞..

MoeMoesakura

2022-02-26 08:12:21 +08:00

@ignor 上次 nyanpass 的历史，，，

wh1sper1023

2022-02-26 10:39:35 +08:00

@Jooooooooo 因为他相当于是显示 html ，可以执行 js 代码。如果没有正确的转义或者开启沙箱的话，就可以直接用 js 执行系统命令

titanlpy

2022-02-26 11:53:27 +08:00

问题不大，机场不至于自砸招牌

JohnSmith

2022-02-26 16:11:14 +08:00

@titanlpy #35 我偷摸着扫一遍你的加密货币，转走了都不知道是谁干的

rpish

2022-02-27 11:14:46 +08:00

https://github.com/Fndroid/clash_for_windows_pkg/releases
两天前修复了

magicdawn

2022-02-27 18:57:36 +08:00

一个不开源的软件这么多 star, 离谱

mxT52CRuqR6o5

2022-03-02 16:30:36 +08:00

@gadfly3173
就比如我想展示一个本地文件的内容，如果可以直接用 node 模块，直接 require 个 fs 几行搞定（当然安全性就低了）
开 sandbox 的话就得两边建好几个文件，声明 ipc 通信，把东西传来穿去，想一下就感觉很麻烦
像字节有开源个前端框架 modern.js ，其中有个 [一体化 BFF 方案] 特性，前端代码里可以直接 import 后端代码里写的 api 函数，框架自动转成 http 请求
所以我就想如果有基于 electron 的框架也能做到类似的事情就好了（ render process 直接 import main process 的代码，自动转换成 ipc 通信）

dragonQueen

2022-03-05 19:06:05 +08:00

@magicdawn 在 release 页面，我看有 source code 的下载项

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/836433

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.