CM-EDT 安全漏洞更新

2025-07-18 日晚，CM 的 TG 群群友发现 EDT 项目重大漏洞，导致 CF EDT 订阅有泄漏的风险

风险特征

当 UUID 变量为标准 uuidv4 时，可以通过访问 https://订阅链接/undefined 直接获取订阅

当 UUID 变量为随机字符串或使用 TOKEN 变量时，订阅仍然是安全的

风险演示

通过某串神秘搜索代码搜索 FOFA，可以得到以下结果，这些地址都是部署了 EDT 的域名

我们红框中这个域名为例，访问它，并在地址后面加上 /undefined，即可得到 EDT 订阅地址

修复漏洞

CM 已于 7 月 18 日晚间在收到群友反馈后紧急修复了漏洞，各位部署了 EDT 的大佬们赶紧更新代码

仓库地址：GitHub - cmliu/edgetunnel

未更新代码的，请先在 worker 中删除 UUID 变量，新增 TOKEN 变量

顺便说一下，CM 的源仓库内置了仓库同步和 js 混淆两个 action，手动执行一下即可

#科学 #脚本 #cloudflare