原文链接: https://mp.weixin.qq.com/s?__biz=Mzk0ODM3NTU5MA==&mid=2247494392&idx=1&sn=7ee67506322648e0494c2c8f39467044

【稳定复现】微信客户端目录穿越漏洞 (可导致远程代码执行)

原创 360漏洞研究院 360漏洞研究院 2025-07-18 22:44

漏洞概述
漏洞名称	微信客户端目录穿越漏洞 (可导致远程代码执行)
漏洞编号	LDYVUL-2025-00092602
公开时间	2025年7月	POC状态	已公开
漏洞类型	目录穿越	EXP状态	未公开
利用可能性	高	技术细节状态	已公开
CVSS 3.1	8.0	在野利用状态	未发现

01

影响组件

微信是腾讯公司开发的跨平台通讯工具，支持发送语音、视频、图片和文字，在智能手机平台上拥有超过 14 亿用户。微信作为中国最主要的社交通讯平台，广泛应用于个人通讯、商务沟通、支付服务等场景。Windows版微信为用户提供了桌面端的完整聊天体验，支持文件传输、多媒体消息、群聊等功能，是企业和个人用户重要的办公和社交工具。

02

漏洞描述

近日，360漏洞研究院成功复现了微信客户端中由于目录穿越导致的远程代码执行漏洞
。攻击者可利用恶意文件在用户无感知
的情况下远程执行任意代码。

漏洞的技术原理在于微信客户端在处理聊天记录中的文件自动下载时，未对文件路径进行充分的校验和过滤。攻击者可通过发送包含恶意文件的聊天消息，当被攻击方在微信中点击聊天记录
时，恶意文件会自动下载
并被复制到系统启动目录
。利用目录穿越技术，攻击者能够绕过微信的安全限制，将恶意代码植入到Windows系统的关键目录中，实现开机自启动
。当被攻击者的电脑进行重启后，攻击方即可通过该文件对受害环境执行任意远程代码
，进而实现
系统控制或
权限维持。

该漏洞影响微信3.9及以下版本，利用方式简单且攻击成功率高，攻击者成功利用后可在目标系统上执行任意代码
。

03

漏洞复现****

360漏洞研究院已复现微信客户端目录穿越导致的远程代码执行漏洞，通过写入自启动目录的方式进行了验证。

微信客户端目录穿越导致远程代码执行漏洞复现

04

漏洞影响范围****

微信Windows客户端 3.9及以下版本

05

修复建议****

正式防护方案

官方已发布安全版本，请立即从微信官网下载并安装最新版本：

升级至微信Windows客户端 4.0或更高版本。

临时缓解措施

1. 谨慎点击来源不明的聊天记录和文件链接，特别是来自陌生联系人的消息。

2. 在点击任何聊天记录中的文件前，先确认发送方的身份和文件的安全性。

3. 安装并及时更新防病毒软件，确保病毒库为最新版本。

4. 定期检查系统启动项，删除可疑的自启动程序。

5. 关闭自动下载文件功能。

06

时间线

2025年7月19日，360漏洞研究院发布本安全风险通告。

07

更多漏洞情报

建议您订阅360数字安全-漏洞情报服务，获取更多漏洞情报详情以及处置建议，让您的企业远离漏洞威胁。

邮箱：[email protected]

网址：https://vi.loudongyun.360.net

“洞”悉网络威胁，守护数字安全

关于我们

360 漏洞研究院，隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”，并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个，收获诸多官方公开致谢。研究院也屡次受邀在BlackHat，Usenix Security，Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果，并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力，帮助各大企业厂商不断完善系统安全，为数字安全保驾护航，筑造数字时代的安全堡垒。