Clash for Windows存在远程代码执行漏洞

Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞

Clash for Windows 的开发者确认了一个被反馈的远程代码执行漏洞，包括最新的CFW版本和所有支持 rule-providers path 的第三方客户端受影响。

GitHub 用户 LDAx2012 说，当受攻击者订阅了一个恶意链接，订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖，cfw-setting.yaml 中 parsers 的 js代码将会被执行。

该漏洞还在修复中，普通用户应该避免使用不可靠来源的订阅。