2025 年 4 月 26 日,@KawaiiZapic 披露,Tauri 框架打造的跨平台代理客户端 Clash Verge Rev(最新 2.2.4‑alpha 版本)后台服务组件存在本地提权漏洞。在 macOS 和 Linux 平台上,攻击者可提升至 root 权限;在 Windows 平台上,则可获取 SYSTEM 权限。
18:03,Clash Verge 开发组表示已定位漏洞原因,正在紧急修复中。@KawaiiZapic 还建议用户采取以下临时对策:
- Windows:打开「服务管理」,禁用 clash‑verge‑service 服务
- Linux:执行 systemctl 停止并禁用 clash‑verge‑service
- macOS:在「系统设置」中关闭名为 “won fen” 的后台自启动权限
(Github issue) (X)
