漏洞描述:
Clash 是一款功能强大的代理软件,Clash Verge 是其客户端之一,Mihomo 是 Clash 核心。Clash Verge 存在远程命令执行漏洞,其默认在 127.0.0.1:9097 开启 RESTful API 服务,且 secret 字段为空,不做鉴权,API 服务存在 CORS 问题,可被恶意网页利用。攻击者通过构造恶意网页,可在用户无感知的情况下篡改 Mihomo(Clash 核心)配置文件,最终可以实现任意文件写入和远程命令执行。该漏洞产生的原因是配置文件对 external-ui 字段的路径检查不完善,可通过 external-ui-name 字段绕过,同时存在未授权 API 调用和 CORS 缺陷等问题。
漏洞类型:
远程命令执行
影响产品:
Clash Verge <= v2.2.4,
Mihomo <= v1.19.8
检测方法:
通过版本检测。
修复方案:
立即将 Clash 客户端升级至 >= v2.3.0,Mihomo 至 >= v1.20.1。
披露日期:
2025-05-21
