微慑信息网

聊着聊着天就被攻击了?微信曾存在 用户名命令注入远程代码执行漏洞

聊着聊着天就被攻击了?微信曾存在 用户名命令注入远程代码执行漏洞

漏洞编号为CVE-2019-17151  ,CVSS评分 8.8
漏洞由趋势科技移动安全研究团队的Todd Han

和Lujunzhi Dong,Zhengyu 发现

聊着聊着天就被攻击了?微信曾存在 用户名命令注入远程代码执行漏洞

此漏洞使远程攻击者可以在受影响的腾讯微信版本上执行任意代码。

利用此漏洞需要用户交互,因为目标必须与攻击者一起在聊天会话中。

漏洞存在于用户名解析中。该问题是由于在使用用户提供的字符串执行系统调用之前缺乏适当的验证。攻击者可以利用此漏洞在当前进程的上下文中执行代码。

最新的在线版本7.0.9已解决此问题。

 

聊着聊着天就被攻击了?微信曾存在 用户名命令注入远程代码执行漏洞

因此微信也不是绝对的安全,平常注意聊天对象,防止被陌生人聊天攻击!

 

参考链接

https://www.zerodayinitiative.com/advisories/ZDI-19-1035/

原文始发于微信公众号(二道情报贩子):聊着聊着天就被攻击了?微信曾存在 用户名命令注入远程代码执行漏洞

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 聊着聊着天就被攻击了?微信曾存在 用户名命令注入远程代码执行漏洞

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册