|
于 2024 年 10 月 28 日发布的 qBittorrent 5.0.1 版本修复了一个长期存在于该程序中的 RCE(远程代码执行)漏洞。该问题通过 2010 年 4 月的提交引入,于 2024 年 10 月 12 日修复,但 5.0.1 版本是包括该修复补丁的最早版本。
该漏洞源于 qBittorrent 中的 DownloadManager 类,该类跨多个功能(包括 torrent 下载、RSS 源和搜索引擎功能)绕过任何下载文件的 SSL 证书验证,这种行为意味着 qBittorrent 信任任何 SSL 证书(无论是过期的、自签名的还是恶意的),从而创建大量攻击媒介,允许多种类型的 MITM 攻击。
建议任何运行受影响 qBittorrent 版本的用户从可信来源下载已修复该问题的较新版本,或者切换到其他客户端。
https://sharpsec.run/rce-vulnerability-in-qbittorrent | 
