PT-2025-40998 · Unknown · Clash Verge
Bron1E
·
Publicado
2025-10-07
·
Atualizado
2026-01-21
·
CVE-2025-50505
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Clash Verge até 2.2.3
Descrição
O software instala serviços do sistema (
clash-verge-service) por padrão e expõe funções por meio de uma API HTTP não autorizada. Especificamente, o endpoint da API /start clash permite que usuários locais enviem parâmetros bin path arbitrários. Esses parâmetros são passados diretamente ao processo do serviço para execução, podendo resultar em escalonamento de privilégio local.Recomendações
Atualize para uma versão superior a 2.2.3.
Exploit
Correção
LPE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Clash Verge