【漏洞预警】全球数万设备受影响！Clash用户小心：暴露Web控制端口=门户大开！

关键点

• Goby安全团队发现Clash Verge存在两个RCE漏洞，分别于2025年4月28日和5月19日披露，可能导致任意文件写入和远程命令执行。
• Clash Web控制服务默认开启（端口9090/9097），所有历史版本（Clash ≤2.2.4, Mihomo ≤ v1.19.8）均受漏洞影响，暴露在公网的相关资产数量超过13700个。
• 攻击者可通过漏洞篡改配置文件，劫持代理、截取流量，甚至完全控制受影响的设备，带来隐私泄露和财产安全风险。
• 恶意利用可能通过路径穿越漏洞和CORS问题实现，包括下载恶意ZIP文件并触发远程命令执行（RCE）。
• 安全修复建议包括升级至修复版本（Clash>= v2.3.0, Mihomo >= v1.20.1）、关闭不必要的Web控制端口并添加密码验证。