clash for windows爆远程代码执行高危漏洞,目前漏洞还未被修复。

clashforwindows爆远程代码执行高危漏洞,目前漏洞还未被修复。https://github.com/Fndroid/clash_for_windows_pkg/issues/3891=====clashpremium的部分功能可以指定从网上拽取的文件的路径这是该漏洞的一个很重要的一环因此不全然是cfw的问题premium应该也加以限制文件存放的目录为当前目录或其子目录

相关推荐

封面图片

补充一下cfw漏洞

Clashforwindows爆远程代码执行高危漏洞,目前漏洞还未被修复。https://github.com/Fndroid/clash_for_windows_pkg/issues/3891补充一下cfw漏洞clashpremium的部分功能可以指定从网上拽取的文件的路径。这是该漏洞的一个很重要的一环,因为它允许从网络拽取的文件存放于一些关键路径就该漏洞而言,为cfw-settings.yaml,而cfw刚好允许执行js脚本,因此才有远程执行漏洞的产生。但除此之外,这个路径也可以是Microsoft/Windows/StartMenu/Programs/Startup(开机启动项),因此就理论上,如果用户不检查配置文件就使用,即使不使用cfw,依旧可能有远程执行的隐患。因此,就个人认为,也不全然是cfw的问题。clashpremium应该也加以限制文件存放的目录为当前目录或其子目录Source:投稿:@zaihuabot群聊:@zaihuachat频道:@testflightcn
封面图片

Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞

ClashforWindows存在一个利用恶意订阅触发的远程代码执行漏洞ClashforWindows的开发者确认了一个的远程代码执行漏洞,包括最新的CFW版本和所有支持rule-providerspath的第三方客户端受影响。GitHub用户LDAx2012说,当受攻击者订阅了一个恶意链接,订阅文件中rule-providers的path的不安全处理导致cfw-setting.yaml会被覆盖,cfw-setting.yaml中parsers的js代码将会被执行。该漏洞还在修复中,普通用户应该避免使用不可靠来源的订阅。
封面图片

WinRAR 高危漏洞,允许攻击者远程执行恶意代码

WinRAR高危漏洞,允许攻击者远程执行恶意代码此漏洞允许远程攻击者在受影响的RARLABWinRAR安装中执行任意代码。利用此漏洞需要用户交互,因为目标必须访问恶意页面或打开恶意文件。该特定缺陷存在于恢复卷的处理中。该问题是由于缺乏对用户提供的数据进行正确验证而导致的,这可能会导致内存访问超出已分配缓冲区的末尾。攻击者可以利用此漏洞在当前进程的上下文中执行代码。该漏洞于2023年6月8日向供应商报告,于2023年8月17日协调公开发布公告。RARLAB已发布更新来修复此漏洞。参考:;来源:投稿:@ZaiHuaBot频道:@TestFlightCN
封面图片

OpenWRT 曝远程代码执行漏洞

OpenWRT曝远程代码执行漏洞https://www.solidot.org/story?sid=63387「路由器发行版OpenWrt一个远程代码执行漏洞,OpenWrtopkg包中的一个bug会导致包管理器忽略库索引嵌入的SHA-256校验和,事实上绕过了下载.ipk文件的完整性检查。由于opkg包以root权限运行,对整个文件系统具有读访问权限,意味着.ipk包嵌入的恶意负荷能执行任意代码。开发者已经释出了新版本修复了漏洞。」
封面图片

Telegram Desktop版本远程代码执行漏洞已被确认

TelegramDesktop版本远程代码执行漏洞已被确认疑似攻击者通过伪造MIMEtype实现客户端欺骗,涉及Telegram中的两个API功能——`sendVideo`和`InputFile`。前置条件:TelegramDesktopWindows<=v4.16.6+安装Python环境。`sendVideo`中的`video`字段支持两种输入方式,“InputFileorString”,问题出在InputFile-SendingbyURL时,目标资源可以拥有一个自定义的MIME标签,以指示其他Telegram客户端应该以什么方式加载这个资源。而这些被篡改且不怀好意的`.pyzw`文件,在这里都被指定为了`video/mp4`,导致其他Telegram客户端将以播放器模式展示这个文件。另外,TelegramDesktopGithub库下一条中提到一个Bug,能通过某种方式发送pyzw格文件,Telegram会将其识别为视频文件,实现伪装视频效果,TelegramDesktop的影片播放方式决定了TelegramDesktop将会把这些较小的视讯资源放置在本地下载目录,然后通过“执行”的方式来加载本地影片至内嵌播放器,这也就是为什么在用户点击这些“假影片”后会自动执行攻击者编写的代码。线索:@ZaiHuabot投稿:@TNSubmbot频道:@TestFlightCN
封面图片

Telegram 称无法确认 Desktop 版本远程代码执行漏洞

Telegram称无法确认Desktop版本远程代码执行漏洞Telegram官方刚刚在社交平台X上发布消息表示,无法确认所谓的Desktop版本远程代码执行(RCE)漏洞。这很可能是一个骗局。并表示:“任何人都可以报告我们应用中的潜在漏洞并获得奖励。”之前有消息称Telegram出现高危远程代码执行漏洞,恶意攻击者只需要向用户发送特制的图片、视频或文件即可触发漏洞。——

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人