Bron1E

**Nome do Software Vulnerável e Versões Afetadas** Versões do Clash Verge até 2.2.3 **Descrição** O software instala serviços do sistema (`clash-verge-service`) por padrão e expõe funções por meio de uma API HTTP não autorizada. Especificamente, o endpoint da API `/start clash` permite que usuários locais enviem parâmetros `bin path` arbitrários. Esses parâmetros são passados diretamente ao processo do serviço para execução, podendo resultar em escalonamento de privilégio local. **Recomendações** Atualize para uma versão superior a 2.2.3.