微信 Linux 4.1.0.13 最新版本存在高危 1click 远程代码执行漏洞

讨论分享
1

image
image990×1248 188 KB

简单来说就是微信Linux版本存在1click rce,只需要将文件名使用反引号包裹命令,目标点击文件即可执行。

昨天和小伙伴测试了下,果然点击文件就直接启动了计算器:

image_20260211021525
image_202602110215251015×724 26.3 KB

受该微信漏洞影响的操作系统:
Ubuntu、Debian、Fedora、CentOS、RHEL、Arch Linux、openSUSE等主流发行版;统信UOS、麒麟操作系统、中科方德、红旗Linux等国产信创系统;以及WSL、Linux容器等衍生环境。
鸿蒙系统不受影响。

详情可见一些网安的公众号:
https://mp.weixin.qq.com/s/Eq3wuIRXL6kb2VeoVAMLaQ

2 个赞
2

我这边测试了一下,至北京时间2026-02-11 16:11,部分文件名中含有 2 个及以上反引号的文件都无法通过微信发送。

3

是的,目前此类文件会显示“发送中断”

4

详细测试结果可见本帖:

5

腾讯服务端拦截了上传,已下载的需更新客户端来防护

[安全资讯] 微信Linux版高危漏洞已修复 信创安全防护仍需重点强化

修复情况

经火绒安全团队验证,腾讯通过“服务端拦截+客户端优化”完成全链条修复:一方面在服务端阻断含漏洞触发字符的恶意文件上传,从源头切断传播路径;另一方面优化客户端文件名过滤机制,即便存在历史残留恶意文件,也无法通过点击触发漏洞,彻底消除信创终端面临的相关安全威胁。