近日，Goby 安全研究团队发现 Clash verge 两个 RCE 漏洞： 
4 月 28 日，Clash verge RCE 漏洞：此漏洞需要本地提权触发，官方告知广大用户无需过渡恐慌。 
[图片] 
5 月 19 日，Clash verge RCE 漏洞：攻击者通过该漏洞构造恶意网页，可在用户无感知的情况下篡改 Mihomo（Clash 核心）配置文件，最终可以实现任意文件写入和远程命令执行。 
[图片]Goby 安全团队随即响应测试，我们在测试过程中发现了一些不一样的东西：实际上，远程攻击者可实现的攻击链路不仅于此，最直接的攻击链路可以通过篡改 Mihomo（Clash 核心）配置文件达到例如：删除配置文件导致用户机器断网或修改指定配置文件监听流量的目的。 
再通过进一步深入测试发现，不止 Clash Verge ，只要对外开启了 Web 控制服务的 Clash 相关产品都存在此...