一、微信 Linux 版 1-Click 命令注入风险
微信 Linux 版是腾讯官方维护的桌面客户端,基于 Electron框架开发。该客户端运行于主流 Linux 发行版,提供聊天、文件收发等核心功能。
1. 风险内容
由于程序在处理接收文件时,未对文件名中的特殊字符进行充分校验与过滤,攻击者可构造包含恶意命令的文件名并发送给目标用户。当受害者点击该文件后,程序在后续处理过程中触发命令注入,从而在受害者系统中执行任意命令。
2. 影响范围
微信 Linux 版 <= 4.1.0.13
3. 修复建议
联系信息中心获取版本更新链接。
二、Google Chrome V8 引擎类型混淆风险
Chrome 是由谷歌公司开发的一款免费网页浏览器,基于开源项目 Chromium 构建,广泛应用于个人、企业和开发者群体。
1. 风险内容
该漏洞允许攻击者通过精心构造的 HTML 页面,触发 V8引擎中的堆内存损坏,可能导致应用崩溃或执行恶意代码。攻击者可利用此漏洞远程控制受影响系统,带来严重安全风险。
2. 影响范围
3. 修复建议
联系信息中心获取版本更新链接。
三、n8n 表达式执行漏洞导致命令执行风险
n8n 是一个开源的工作流自动化工具,可实现数据处理、任务调度、系统集成等功能,广泛应用于开发者和企业用户。
1. 风险内容
该漏洞源于 n8n 在执行表达式时,未充分验证工作流参数,允许经过身份验证的用户利用这一缺陷,通过精心构造的表达式,诱使系统执行未预期的命令,从而导致远程代码执行(RCE)。攻击者只需具备创建或修改工作流的权限,即可通过此漏洞触发系统命令的执行,可能对运行 n8n 的主机造成严重安全威胁。
2. 影响范围
2.0.0 <= n8n < 2.5.2
n8n < 1.123.17
3. 修复建议
联系信息中心获取版本更新链接。
