文章总结： 文档披露微信Linux版存在远程代码执行漏洞，攻击者可通过构造含特殊字符的恶意文件名，在用户点击时触发命令注入。漏洞涉及对shell命令拼接时的过滤不足，作者已成功复现并建议用户及时更新版本。 综合评分： 72 文章分类： 漏洞分析,WEB安全,移动安全,安全建设,终端安全

【已复现】微信linux最新版RCE

原创

金夏 金夏

金夏安全

2026年2月10日 16:42 广东

在小说阅读器读本章

去阅读

免责声明

本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动，由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果均与文章作者及本账号无关，本次测试仅供学习使用。如有内容争议或侵权，请及时私信我们！我们会立即删除并致歉。谢谢！

一、漏洞描述

微信 for Linux 在处理用户接收的文件时，当用户点击打开包含恶意命令的文件名时，由于对文件名中的特殊字符（如分号、反引号、$()、换行符等）未进行充分过滤和转义，直接将文件名拼接进shell命令中执行，导致攻击者可通过构造恶意的文件名实现任意命令执行。

下一个linux版本微信，然后创建带有`号包裹文件名，包裹里填自己想要执行的命令的文件，自己发给自己就行了

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：金夏安全 金夏 金夏《【已复现】微信linux最新版RCE》