据微信公众号棉花糖 Fans 发布的预警文章,百度网盘的 Windows 客户端出现高危安全漏洞,攻击者借助漏洞可以控制 URL 参数注入指定命令。
该漏洞被安全研究人员上报后被该网盘团队忽略,之后研究人员以研究分享的角度将该漏洞披露出来,漏洞影响该网盘的最近几年的所有版本包括最新版 (最新版为 2025 年 9 月 3 日发布的 7.59.5.104 版)。
漏洞位于该网盘客户端使用的后台程序 YunxxxxxService.exe,该后台程序会监听本地 10000 端口并处理 HTTP 请求,其中 HTTP 请求中的 OpenSafeBox 命令存在命令注入漏洞。
OpenSafeBox 使用 URL 参数 uk,该参数作为 NxxxxxK.exe 命令行参数传递,但由于没有对 uk 参数进行安全检测和过滤导致存在注入风险。
攻击者可以将参数注入到安装系统程序的命令中,例如使用 regsvr32.exe 注册 Dll 文件,通过路径穿越构造 Dll 路径,劫持为系统自带的 scrobj.dll 路径并注入远程 xml 文件地址,当 regsvr32.exe 被调用时会下载执行远程 xml 文件中的命令。
值得注意的是最初发布该报告的微信公众号棉花糖 Fans 已经删除报告,原因是该网盘所属企业施加的压力,该公司说法也存在前后矛盾的地方,例如称漏洞为其他研究人员提交但被审核忽略,又表示漏洞还在内部处理中不能公开透露漏洞细节。
▎新闻来源
https://www.landiannews.com/archives/110526.html
