文章地址
https://mp.weixin.qq.com/s/az75ibo1fQ64M_DtKdlKrw
对文件名直接使用拼接命令执行处理,导致只要被反引号包含的内容就会被执行,因为微信默认自动下载文件,可以说是无条件的
建议卸载或使用wechat-universal-bwrap ,至少有沙箱挡一下
bwrap 解决不了这个问题。实测依然有效。暂时还是先不要随便点别人发的文件,我不知道不主动点是否有问题(
bwrap至少能挡一下,不会直接电脑权限给人了
吓坏了现在在用无沙箱版的
据称会在服务端修复:https://bbs.deepin.org/post/295711
微信这种东西还是丢在沙盒里比较好。我用的flatpak微信,隔离得更加激进,弹计算器这种是肯定做不到了。不过curl之类的命令还是可以执行。
不知道是不是微信那边已经做了紧急处理,现在部分文件名中有两个及以上反引号的文件无法发送。
先说一下测试环境:
- 计算机操作系统:Linux Mint 22.3
- 计算机架构:AMD64
- 桌面环境:MATE
- 手机端:微信 Android 版,8.0.66
首先测试了一下 Flatpak 版的微信 4.1.0.13,结果如下:
| 文件名 | 发送结果 | 电脑接收后反应 |
|---|---|---|
| 测试`reboot`测试.pdf | 无法发送 | |
| 测试`touch test.txt`测试.pdf | 无法发送 | |
| 测试`xed`测试.pdf | 可以发送 | 无反应(但电脑上确实安装了 xed 这个软件) |
| `ls`.pdf | 可以发送 | 无反应 |
| `pwd`.pdf | 可以发送 | 无反应 |
然后测试了一下 AppImage 版的微信 4.1.0.16,结果如下:
| 文件名 | 发送结果 | 电脑接收后反应 |
|---|---|---|
| `pwd`.pdf | 可以发送 | 无反应 |
| `xed`.pdf | 可以发送 | 下载文件后未唤出 xed 软件主窗口,但右击该文件、点击 在文件夹中显示 时,会提示 "无法显示 '/home/user/文档/xwechat_file...08/msg/file/2026-02/`xed`'。Caja 无法处理这种类型的位置。" |
flatpak沙盒里面隔离了/usr/bin/,打不开xed是正常的。你可以使用
flatpak run --command=bash com.tencent.WeChat
进入到flatpak的沙盒环境中,看看能调用哪些命令。
1 Like