首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >【热点漏洞】Windows微信客户端存在目录穿越漏洞(可远程代码执行)

【热点漏洞】Windows微信客户端存在目录穿越漏洞(可远程代码执行)

作者头像
信安百科
发布2025-07-30 15:13:16
发布2025-07-30 15:13:16
2720
举报
文章被收录于专栏:信安百科信安百科

0x00 前言

微信客户端是一款基于计算机技术的跨平台即时通讯软件。

移动端安卓以Java结合Android SDK开发,iOS 用Objective - C和Swift;PC端 Windows采用C++ 与 Qt框架,Mac则用Objective - C和Swift 。它运用TCP/IP协议经加密与服务器通信,保障安全。

数据库存储本地数据,如聊天记录等。采用长连接维持实时消息推送,支持多媒体编解码,实现流畅音视频通话,为全球用户提供便捷通信服务。

0x01 漏洞描述

微信客户端在自动下载聊天记录中的文件时,对文件路径的校验和过滤存在不足。

攻击者可向目标发送携带恶意文件的聊天消息,当受害者在微信里点击该聊天记录时,恶意文件会被自动下载,且通过目录穿越绕过微信安全限制,被复制到 Windows 系统启动目录。

这使得恶意代码得以植入系统关键目录并实现开机自启动。一旦受害者重启电脑,攻击者就能通过该恶意文件在受害系统中执行任意远程代码,从而控制目标系统或维持访问权限。

0x02 CVE编号

0x03 影响版本

微信3.9及以下版本

0x04 漏洞详情

(来源于网络)

0x05 参考链接

https://weixin.qq.com/

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2025-07-19,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 信安百科 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档