微信用户名远程代码执行漏洞风险通告
发布时间 2020-01-02漏洞编号和级别
CVE编号:CVE-2019-17151,危险级别:高危,CVSS分值:厂商自评:8.8,官方未评定
影响版本
Tencent WeChat小于7.0.9版本
漏洞概述
Tencent WeChat(微信)是中国腾讯(Tencent)公司的一款跨平台的通訊工具。
WeChat在解析用户名时存在特定的缺陷。此问题是由于在执行系统调用之前未对使用用户提供的字符串进行正确验证造成的。攻击者可以利用此漏洞在当前进程的上下文中执行代码。此漏洞需要用户交互,因为目标必须与攻击者一起处于聊天会话中。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布新版本以修复漏洞,获取链接:https://weixin.qq.com/。
参考链接
https://www.zerodayinitiative.com/advisories/ZDI-19-1035/
京公网安备11010802024551号