补充一下cfw漏洞
Clashforwindows爆远程代码执行高危漏洞,目前漏洞还未被修复。https://github.com/Fndroid/clash_for_windows_pkg/issues/3891补充一下cfw漏洞clashpremium的部分功能可以指定从网上拽取的文件的路径。这是该漏洞的一个很重要的一环,因为它允许从网络拽取的文件存放于一些关键路径就该漏洞而言,为cfw-settings.yaml,而cfw刚好允许执行js脚本,因此才有远程执行漏洞的产生。但除此之外,这个路径也可以是Microsoft/Windows/StartMenu/Programs/Startup(开机启动项),因此就理论上,如果用户不检查配置文件就使用,即使不使用cfw,依旧可能有远程执行的隐患。因此,就个人认为,也不全然是cfw的问题。clashpremium应该也加以限制文件存放的目录为当前目录或其子目录Source:投稿:@zaihuabot群聊:@zaihuachat频道:@testflightcn
在Telegram中查看相关推荐
🔍 发送关键词来寻找群组、频道或视频。
启动SOSO机器人