Clash 内核爆出路径穿越漏洞。1

由于 Clash 可以通过 RESTful api 来控制内部设置，并且支持 CORS——不同的域名可以共享相同的资源，这意味着可以在任何网站上调用 Clash 的 API. 原本这个设计是为了方便在官方的 Dashboard 配置 Clash，但是同时任何网站也可以调用 Clash API 来更新我们的配置文件，而这个被更新的配置文件中可能配置了恶意的节点提供者。于是 Clash 就会去这个节点提供者那里下载节点信息，节点信息中就包含了恶意代码。2

然后，我们的电脑就变成别人的“肉鸡”了。

所以，温馨提醒：

WallWalker 社区的各位小伙伴，建议尽快升级 Clash 版本，据说 Clash for Windows 近期的新版本已经修复了这个漏洞。

操作步骤：打开 Clash for Windows, 点击 General 页面右上角的版本号。

更进一步，可以打开 Settings 页面，设置 Core Secure, 这样 Clash RESTful API 就不能被随意调用了。

[1]  相关视频：https://www.youtube.com/watch?v=4AnapDDMlyI

[2]  流行代理软件Clash CSRF未授权配置重载致使RCE