一、漏洞详情
近日,监测到百度网盘Windows客户端远程命令执行漏洞(CNVD-2025-20395)公开,百度网盘Windows客户端安装后,后台程序将监听本地10000端口并处理HTTP(HTTPS)请求。其中OpenSafeBox存在命令注入漏洞,攻击者可诱导受害者点击恶意HTML页面实现远程命令执行从而获取系统权限。利用该漏洞需要知道计算机的用户名,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
二、影响范围
百度网盘 Windows客户端 < 7.60.5.102
三、修复建议
官方已发布安全补丁,请及时升级至最新版本:
百度网盘Windows客户端 >= 7.60.5.102
官方下载地址:https://pan.baidu.com/download#win