1. 漏洞背景
百度网盘是一个提供文件存储、同步和分享服务的云端平台。用户可以通过百度网盘存储个人文件,并可以通过链接或邀请他人共享文件。百度网盘还提供了文件同步功能,可以让用户在不同设备之间同步其文件。用户可以免费获得一定的存储空间,也可以通过付费获得更大的存储空间和更多功能。
2. 漏洞详情
近期,深瞳漏洞实验室监测到一则百度网盘组件存在命令执行漏洞的信息,漏洞威胁等级:高危。
百度网盘 Windows 客户端存在远程命令执行漏洞,网盘默认开启本地 10000 端口处理 https 请求,其中 OpenSafeBox 方法存在远程命令执行漏洞,攻击者可以利用该漏洞执行任意命令,导致系统失陷。
3. 漏洞影响
目前受影响的百度网盘版本:
百度网盘 Windows 客户端 < 7.60.5.102
4. 处置建议
官方修复建议:
百度已发布补丁修复该漏洞,建议受影响用户将百度网盘更新到安全版本。
百度网盘 Windows 7.60.5.102
下载链接:https://pan.baidu.com/download#win