钉钉电脑版远程代码执行漏洞安全风险通告_公告和预警

新闻公告NEWS CENTER

您当前位置：首页 > 新闻公告 > 公告和预警

钉钉电脑版远程代码执行漏洞安全风险通告

2022-02-25

浏览次数：次

返回列表

第1章安全通告

近日，奇安信CERT监测到钉钉电脑版远程代码执行漏洞PoC已在互联网上公开。攻击者可将恶意代码托管在服务器上，诱使受害者使用钉钉打开链接，钉钉即会获取恶意链接指向的网页内容并用内置浏览器渲染，从而触发漏洞，在受害者电脑上远程执行代码。目前，此漏洞已发现在野利用且PoC已公开，经奇安信安全团队验证，此PoC有效。鉴于此漏洞影响较大，建议用户尽快自查修复。

当前漏洞状态：

钉钉电脑版远程代码执行漏洞安全风险通告(图1)

第2章文档信息

钉钉电脑版远程代码执行漏洞安全风险通告(图2)

第3章漏洞信息

3.1 漏洞描述

钉钉是阿里集团专为中小企业打造的通讯、协同的移动办公平台，提供PC版，Web版，Mac版和手机版，帮助企业更加高效安全地进行内部沟通和商务沟通。近日，奇安信CERT监测到钉钉电脑版远程代码执行漏洞 PoC已在互联网上公开。攻击者可将恶意代码托管在服务器上，诱使受害者使用钉钉打开链接，钉钉即会获取恶意链接指向的网页内容并用内置浏览器渲染，从而触发漏洞，在受害者电脑上远程执行代码。目前，此漏洞已发现在野利用且PoC已公开，经奇安信安全团队验证，此PoC有效。鉴于此漏洞影响较大，建议用户尽快自查修复。

QVD-2022-1438 钉钉电脑版远程代码执行漏洞

钉钉电脑版远程代码执行漏洞安全风险通告(图3)