立即注册  找回密码
 立即注册
CeraNetworksBGVM服务器主机交流会员请立即修改密码Sharktech防护
查看: 35|回复: 2

clash.meta 路径穿越漏洞还没有修复 请速速更改端口

[复制链接]

clash.meta 路径穿越漏洞还没有修复 请速速更改端口

[复制链接]

11

主题

156

回帖

537

积分

高级会员

积分
537
Cuchemist

11

主题

156

回帖

537

积分

高级会员

积分
537
2023-6-4 13:25:53 | 显示全部楼层 |阅读模式
继clash windows端的RCE洞后,
clash之后又爆出路径穿越漏洞,这次是全平台。clash已经在之后修复了这个漏洞,但clashmeta迄今为止仍未修复。

简单说明下:
用户点击一个网址,就能悄无声息的通过cors调用restful API下载配置本到本地,其中也可以包含其他文件,比如powershell脚本,这本来问题也不大,但路径穿越漏洞可以让文件被下载到任何地上,比如windows自启目录。于是就能通过过cors实施跨域攻击了。
而且因为这其实是调用restful api接口,如果你是公网,连网址都不点,就可能直接成肉鸡了。

解决办法很简单,
1.安装杀软 这种高危行为通常会被识别。
2.更新clash内核 新版已经修复
3.如果是clash meta,虽然尚未修复。但是既然是调用了restful api,那修改外部控制端口就行了,如果是公网怕人扫,连带授权密码也改了就好、
回复

使用道具 举报

69

主题

2597

回帖

6827

积分

论坛元老

积分
6827
冲浪麦浪花郎

69

主题

2597

回帖

6827

积分

论坛元老

积分
6827
2023-6-4 13:30:57 | 显示全部楼层
已阅
回复

使用道具 举报

90

主题

772

回帖

2516

积分

金牌会员

积分
2516
zhouktv1

90

主题

772

回帖

2516

积分

金牌会员

积分
2516
2023-6-4 13:59:48 | 显示全部楼层
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|HS2V主机综合交流论坛

GMT+8, 2024-12-26 23:08 , Processed in 0.016487 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表