微信誉户名远程代码执行缝隙风险公告

颁布功夫 2020-01-02

缝隙编号和级别


CVE编号:CVE-2019-17151 ,危险级别:高危 ,CVSS分值:厂商自评:8.8 ,官方未评定


影响版本


Tencent WeChat幼于7.0.9版本


缝隙概述


Tencent WeChat(微信)是中国腾讯(Tencent)公司的一款跨平台的通訊工具 。


WeChat在解析用户名时存在特定的缺点 。此问题是由于在执行系统挪用之前未对使用用户提供的字符串进行正确验证造成的 。攻击者能够利用此缝隙在当前过程的高低文中执行代码 。此缝隙必要用户交互 ,由于指标必须与攻击者一路处于谈天会话中 。


缝隙验证


暂无POC/EXP 。


建复建议


目前厂商已颁布新版本以建复缝隙 ,获取链接:https://weixin.qq.com/ 。


参考链接


https://www.zerodayinitiative.com/advisories/ZDI-19-1035/