qBittorrent 中的 RCE 漏洞
2024-11-02
qBittorrent 客户端存在一个长达14年之久的严重安全漏洞,影响从3.2.1到5.0.0的所有版本。该漏洞源于 DownloadManager 类忽略了所有 SSL 证书验证错误,导致攻击者可以通过中间人攻击执行远程代码。攻击方式包括:1. 利用 Windows 版本自动安装 Python 功能执行恶意程序;2. 劫持浏览器并诱导用户下载恶意软件升级包;3. 通过 RSS feed 注入任意 URL;4. 利用解压缩库攻击面。该漏洞已在 5.0.1 版本中修复,建议用户手动升级到最新版本。
19