原文链接: https://mp.weixin.qq.com/s?__biz=MzkyOTQzNjIwNw==&mid=2247492628&idx=1&sn=6328dbcbf1e55c176f7181178a068c63

【吃瓜】今日热传：微信客户端3.9版本 1click RCE的TSRC最终处置结果

原创 棉花糖糖糖 棉花糖fans 2025-07-18 09:58

今日，有b站用户在b站上传了一段视频，目前已删除，大概内容为：该白帽挖到了一个微信客户端小于等于3.9版本的1click rce漏洞，提交tsrc后被忽略，理由为：内部已知&非最新版。

后在其他微信公众号以及一些微信群内传播出相关细节：

此漏洞大概步骤是在转发聊天记录的时候，修改内存为图中样式，由于微信会自动下载文件，在受害者点开聊天记录的时候，利用目录穿越，把.lnk快捷方式放到用户启动目录，这样用户重启电脑的时候就会执行自定义的命令，造成rce，相关内存截图：

对于此事件，TSRC方最开始的理解，是
理解成 类比MS17017，Windows 系统的老版本也能用，但不能每利用一次漏洞就让微软 SRC 再收一次，用户更不更新客户端是自己的选择。

猜测tsrc方最开始审核重点考虑的是目前最新版本已无法造成rce。

而后相关负责人继续和业务讨论细节，在经过后续讨论沟通，事情搞清楚之后，目前给到的处理方案为：
漏洞评级核心产品-严重，符合暑期众测活动，叠加三倍安全币奖励和额外月度现金奖励。

你觉得这个处置结果合理吗？或者对此事有其他看法吗？欢迎在留言区给出你的看法。