漏洞概述

搜狗输入法是一款由搜狗公司开发的，基于搜索引擎技术的、特别适合网民使用的、新一代的输入法产品，用户可以通过互联网备份自己的个性化词库和配置信息。搜狗输入法的前身是搜狗拼音输入法，自2006年6月推出以来，因其用户体验佳、词库丰富、输入准确、智能等特点，深受广大网民喜爱.目前官网最新版本为14.7，已验证存在漏洞。

在windows部分系统中安装了搜狗输入法后，在登录页面密码输入框由鼠标进行拖拽弹出搜狗输入法后，可以进入搜狗输入法的游戏中心，下载或试玩游戏时会弹出QQ登录提示框，因下载QQ时需要选择文件存储位置会弹出文件夹选项框，在文件夹选项框中可以执行系统命令，从而导致可以绕过密码登录直接获取系统的权限。

目前受影响的版本：windows部分系统，通过远程桌面无法利用。

漏洞复现

解决方案

官方还未发布修复方案或新版本，建议卸载搜狗输入法。

参考链接

https://www.bilibili.com/video/BV15F82esEQa/?spm_id_from=888.80997.embed_other.whitelist&t=1.413405&bvid=BV15F82esEQa&vd_source=26a537bf48f552e2ffb886e5017b330ehttps://pinyin.sogou.com/windows/?r=mac&t=pinyin