【热点漏洞】Windows微信客户端存在目录穿越漏洞（可远程代码执行）

0x00 前言

微信客户端是一款基于计算机技术的跨平台即时通讯软件。

移动端安卓以Java结合Android SDK开发，iOS 用Objective - C和Swift；PC端 Windows采用C++ 与 Qt框架，Mac则用Objective - C和Swift 。它运用TCP/IP协议经加密与服务器通信，保障安全。

数据库存储本地数据，如聊天记录等。采用长连接维持实时消息推送，支持多媒体编解码，实现流畅音视频通话，为全球用户提供便捷通信服务。

0x01 漏洞描述

微信客户端在自动下载聊天记录中的文件时，对文件路径的校验和过滤存在不足。

攻击者可向目标发送携带恶意文件的聊天消息，当受害者在微信里点击该聊天记录时，恶意文件会被自动下载，且通过目录穿越绕过微信安全限制，被复制到 Windows 系统启动目录。

这使得恶意代码得以植入系统关键目录并实现开机自启动。一旦受害者重启电脑，攻击者就能通过该恶意文件在受害系统中执行任意远程代码，从而控制目标系统或维持访问权限。

0x02 CVE编号

无

0x03 影响版本

微信3.9及以下版本

0x04 漏洞详情

（来源于网络）

0x05 参考链接

https://weixin.qq.com/