【已复现】漏洞通告 | 微信Linux版1-Click命令注入漏洞
微信Linux版1-Click命令注入漏洞是腾讯官方客户端因文件名处理缺陷导致的高危漏洞,攻击者通过发送包含特殊字符(如反引号 或$()`)的文件名,可使接收方点击文件时触发系统命令执行。该漏洞在微信 for Linux v4.1 版本复现,若程序以 root 权限运行将直接导致权限提升。 |
| |
| |
| | | |
| | | |
| | | |
| 危害描述:攻击者可通过构造包含恶意命令的文件名(如使用反引号`或$()等特殊字符)触发漏洞,导致程序直接执行任意系统命令。 |
| 参考链接: https://linux.weixin.qq.com/ |
中成信息安全实验室已复现微信Linux版1-Click命令注入漏洞,验证如下。
建议在补丁发布之前,用户采取以下临时防范措施:不点击或打开文件名包含异常特殊字符或可疑内容的文件,尤其是来自不明来源的文件;必要时可暂时使用微信网页版(https://web.wechat.com/)进行沟通和文件处理,以降低本地客户端被利用的风险。关于我们
漳州中成信息科技有限公司是一家专注于网络安全实战防护的创新型服务提供商。我们深刻理解网络安全的核心在于攻防对抗的持续较量,并以此独特视角为基石,致力于为客户构建动态、主动、智能化的纵深防御体系。区别于传统的被动防御,我们坚信“未知攻,焉知防”。公司汇聚了顶尖的渗透测试专家(红队)、应急处置精英(蓝队)及经验丰富的安全服务工程师,形成了一支具备完整攻防对抗能力的专业团队。我们的渗透测试团队模拟真实攻击者的思维与手段,深入挖掘系统、应用及网络中的深层次漏洞与风险点;应急处置团队则能在安全事件发生时快速响应、精准定位、有效遏制损失并溯源根因;安服工程师团队则致力于将攻防对抗中获得的宝贵经验转化为常态化的安全策略、加固措施与运营流程。
