文章总结： Telegram被曝出高危零点击远程代码执行漏洞CVE-2023-26818，攻击者通过恶意媒体文件即可远程控制设备。该漏洞影响macOS、Android和iOS客户端，CVSS评分9.8且暂无补丁。建议禁用自动媒体下载并监控异常进程活动以降低风险。 综合评分： 85 文章分类： 漏洞分析,威胁情报,移动安全,终端安全,恶意软件

暂无补丁!Telegram被曝零点击远程代码执行漏洞,所有用户设备均可被入侵

原创

suntiger suntiger

二进制空间安全

2026年3月31日 09:58 北京

将二进制空间安全设为”星标⭐️”

第一时间收到文章更新

事件背景

#

   Telegram近日被爆出一个高危、零点击远程代码执行 (RCE) 漏洞, 攻击者只需发送精心构造的媒体文件即可入侵受害者的设备。该漏洞的CVSS评级为9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) ，于2026 年3 月26日报告给 Telegram，并计划于2026 年 7 月24 日公开披露。截至目前，尚未发布官方补丁。受影响的产品线包括 macOS 版 Telegram 桌面应用程序(CVE-2023-26818) 以及 Android 和 iOS 移动应用程序（具体版本未公开）。可立即采取的缓解措施包括禁用自动媒体下载和监控异常进程执行。

技术分析

该漏洞位于Telegram的媒体处理管道中。尽管详细的内存破坏细节还未公开透露，但该漏洞被描述为通过构造的媒体文件实现远程代码执行。关联的CVE 编号CVE‑2023‑26818已在macOS桌面客户端中被确认，据悉是在解析媒体载荷时触发的缓冲区溢出。由此推断，该漏洞很可能利用了类似的缺陷, 可能是媒体解码器中未经检查的缓冲区或不当的边界校验从而使攻击者能够在无需用户交互的情况下，将任意代码注入客户端的执行上下文。

该漏洞的攻击执行链如下:

(1).准备工作 :攻击者精心制作恶意媒体文件（图像、视频或音频），其中嵌入了利用 Telegram 媒体解析器中的缓冲区溢出漏洞的有效Payload。

(2).传播方式 :文件通过 Telegram 聊天或群组发送给受害者。由于该漏洞无需点击即可利用，受害者无需打开或预览文件, 只需接收即可。

(3).执行 :Telegram客户端收到媒体文件后会自动处理。溢出会破坏堆栈或堆，使攻击者的shellcode能够以Telegram进程的权限执行。

(4).权限提升 :被入侵的Telegram进程以用户权限运行。攻击者随后可以生成反向 shell、窃取数据或跳转到其他本地服务。

(5).持久性 :攻击者可能安装后门或修改系统设置以维持访问权限。

由于该攻击无需用户交互，因此被归类为零点击攻击。AV :N/AC:L/PR:N/UI:N 向量证实该攻击基于网络，成本低，无需特权，且无需用户界面。

该漏洞并非局限于特定部署环境 ,任何运行受影响客户端二进制文件的设备都可能受到攻击。Telegram自身的漏洞赏金计划提供高达 10 万美元的奖励，凸显了该漏洞的严重性。

研究人员和Telegram均未发布任何公开可用的代码片段或PoC有效Payload。ZDI 报告不包含任何漏洞利用代码，Telegram也未发布技术文档。因此，以下分析仅基于已报告的攻击向量和已知的CVE编号。

影响评估

#

(1).用户 :所有尚未安装补丁的 macOS、Android 或 iOS 上的Telegram用户都面临风险。

(2).企业环境 :允许员工在设备上使用Telegram的组织，尤其是那些拥有敏感数据的组织，将面临数据泄露和横向移动的风险。

(3).高调目标 :公众人物、记者或依赖Telegram进行安全通信的企业高管尤其容易受到攻击，因为这种攻击无需点击即可进行。

成功利用漏洞将使攻击者完全控制受害者的设备，从而实现数据窃取、凭证收集和持久化。另外该漏洞被利用后允许攻击者读取私人消息，破坏了平台的保密性, 如果攻击者攻破设备，他们可能会利用该设备通过网络钓鱼或凭证重用等方式渗透企业网络。

#

临时检测和响应

#

| | | | | — | — | — | | 日志 | 检测指标 | 描述 | | Telegram客户端日志 | MediaProcessingError | 媒体解码过程中出现的意外错误可能表明存在漏洞利用。 | | 操作系统进程创建 | telegram spawning sh或bash | Telegram 进程启动了异常的子进程。 | | 网络流量 | 来自telegram进程的向未知IP建立的出站连接 | 潜在的反向shell活动行为 |

需要注意的网络行为:

(1).向非 Telegram IP地址发出的出站 TCP/UDP 请求 :攻击者的反向 shell 可能连接到命令和控制服务器。

(2).异常的TLS 握手:源自Telegram进程的TLS流量到不在Telegram白名单中的外部域。

#

需要注意的行为模式:

(1).CPU/内存突然飙升 :受感染的Telegram进程可能会出现异常的资源使用情况。

(2).文件系统意外更改 :创建隐藏文件或修改系统二进制文件。

#

#

(全文完)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：二进制空间安全 suntiger suntiger《暂无补丁!Telegram被曝零点击远程代码执行漏洞,所有用户设备均可被入侵》