文章总结： ZDI研究员披露Telegram零日漏洞（ZDI-CAN-30207，CVSS9.8），攻击者可通过恶意动画贴纸实现零点击远程代码执行，影响Android/Linux设备。Telegram官方否认漏洞存在，称所有贴纸均经服务器端验证。建议商务用户在隐私设置中限制消息接收范围。该漏洞暂无补丁，地下市场可能将其武器化。 综合评分： 78 文章分类： 漏洞分析,移动安全,威胁情报,应用安全,网络安全

Telegram零日漏洞可零点击接管设备，官方否认存在

FreeBuf

2026年4月2日 18:04 上海

在小说阅读器读本章

去阅读

#

Part01

高危漏洞或致零点击远程代码执行

官方坚称不存在

趋势科技旗下Zero Day Initiative（ZDI）平台研究员Michael DePlante（@izobashi）披露了Telegram的新漏洞（编号ZDI-CAN-30207，CVSS评分9.8）。该漏洞允许攻击者在无需用户交互的情况下，通过发送恶意动画贴纸即可在目标设备上执行代码。其危险性在于，Telegram自动处理媒体生成预览的功能存在缺陷，使得特制文件可触发代码执行。

该漏洞影响Android和Linux版Telegram，成功利用可导致设备完全被控。目前尚不明确该漏洞是否已被实际利用。ZDI暂未公开技术细节，给予厂商修复窗口期至2026年7月24日。

Part02

官方回应与安全建议

意大利国家网络安全局（ACN）公告显示，Telegram官方否认该零点击漏洞的存在，强调所有贴纸在分发前均经过服务器端验证，从技术层面杜绝了通过贴纸执行恶意代码的可能性。公告称：”经直接沟通，Telegram正式否认此前报告的零点击漏洞，坚称该缺陷不存在。厂商表示所有上传贴纸在分发至客户端前，均需通过服务器端强制验证。”

作为缓解措施，Telegram商务用户可在”设置→隐私与安全→消息”中，将消息接收范围限定为已保存联系人或高级用户。

Part03

地下市场的潜在威胁

针对Telegram等流行平台的漏洞利用程序在地下市场价值可达数百万美元，攻击者往往能快速将其武器化。当前漏洞无补丁可用的现状，已引发网络安全界的广泛担忧。

参考来源：

It’s a mystery … alleged unpatched Telegram zero-day allows device takeover, but Telegram denies

It’s a mystery … alleged unpatched Telegram zero-day allows device takeover, but Telegram denies

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《Telegram零日漏洞可零点击接管设备，官方否认存在》