漏洞名称:【微信 Linux 版 1-Click 命令注入漏洞】
漏洞编号:【暂无】
威胁等级:【高危/CVSS评分:8.8】
漏洞类型:【命令注入】
影响组件:【微信 Linux 版】
复现状态:【已复现】
披露时间:【2026年2月10日】
微信 Linux 版 1-Click 命令注入漏洞,该漏洞是源于程序在处理接收文件时,未能对文件名进行充分校验,导致存在命令注入漏洞。攻击者可精心构造包含系统命令的恶意文件名。一旦用户点击该文件,程序在后台处理过程中便会将文件名作为指令执行,导致攻击者注入的任意命令在用户系统环境中运行。
纬安科技安全团队已成功复现该漏洞,成功命令注入,打开firefox浏览器。
受影响版本:
综合评估: 此产品的广泛使用,此漏洞影响范围极大。
官方修复方案:
目前官方尚未发布微信 Linux 版的修复版本。
临时防护:
1.避免点击或打开文件名中包含异常特殊字符或可疑内容的文件。
2.临时使用微信网页版进行必要的沟通与文件处理,以降低本地客户端被利用的风险。
[1]https://linux.weixin.qq.com/
本通告仅为技术研究之目的,旨在帮助广大用户提升安全意识、及时防范风险。我司已对漏洞复现过程进行严格把控,未提供任何可用的EXP或POC细节,以防止该漏洞被恶意利用。使用者应对其使用行为负责,我司不承担任何法律责任。
转载请注明来源:【纬安科技CERT】
广州纬安科技有限公司(WEEAN)创立于广州,服务全国,是深耕于网络安全领域的技术尖兵。公司以“漏洞全生命周期闭环管理”为核心能力,为金融、能源、通信等关键信息基础设施行业提供全栈式安全解决方案。作为国家信息安全漏洞库(CNNVD)核心技术支撑试点单位、一级技术支撑单位,以及国家工业信息安全漏洞库(CICSVD)技术组成员,纬安科技深度参与国家级漏洞库建设,技术实力获权威认可。凭借深厚的技术积淀,公司已全面通过ISO9001、ISO45001、ISO14001管理体系认证,获评国家级科技型中小企业、AAA信用企业等资质,并累计荣获国家级荣誉30余项。
