该漏洞的核心成因在于Clash Verge Rev的默认配置。在其默认设置下，客户端会在本地（127.0.0.1:9097）开启一个未经验证的API服务接口，并且该接口存在跨域资源共享（CORS）配置问题。当用户运行着默认配置的Clash Verge Rev并访问一个恶意网页时，该网站上的代码可以直接与本地的Clash Verge Rev API进行通信。

攻击者可利用此API接口修改Clash核心（Mihomo）的配置文件，并通过配置文件中的特定字段绕过路径检查，实现本地文件写入。本地文件写入后，即可通过利用常见软件的插件机制，通过部署恶意插件，实现后阶段的RCE。

Clash Verge 用户应当立即修改设置，为外部控制添加密码验证。

Clash Verge 客户端再曝新问题，存在远程代码执行漏洞最先出现在蚯蚓机场。