#安全资讯 某 D 网盘被发现出现高危安全漏洞，借助漏洞可以远程执行任意代码。该漏洞影响某 D 网盘的所有 Windows 客户端，最初发布该文的公众号博主受到该网盘所属企业压力已经删除文章，该企业称漏洞由其他研究人员提交但被审核忽略，现在又称在内部处理中不能公开。查看全文：https://ourl.co/110526

据微信公众号棉花糖 Fans 发布的预警文章，国内某知名网盘的 Windows 客户端出现高危安全漏洞，攻击者借助漏洞可以控制 URL 参数注入指定命令。

该漏洞被安全研究人员上报后被该网盘团队忽略，之后研究人员以研究分享的角度将该漏洞披露出来，漏洞影响该网盘的最近几年的所有版本包括最新版 (最新版为 2025 年 9 月 3 日发布的 7.59.5.104 版)。

漏洞位于该网盘客户端使用的后台程序 YunxxxxxService.exe，该后台程序会监听本地 10000 端口并处理 HTTP 请求，其中 HTTP 请求中的 OpenSafeBox 命令存在命令注入漏洞。

OpenSafeBox 使用 URL 参数 uk，该参数作为 NxxxxxK.exe 命令行参数传递，但由于没有对 uk 参数进行安全检测和过滤导致存在注入风险。

攻击者可以将参数注入到安装系统程序的命令中，例如使用 regsvr32.exe 注册 Dll 文件，通过路径穿越构造 Dll 路径，劫持为系统自带的 scrobj.dll 路径并注入远程 xml 文件地址，当 regsvr32.exe 被调用时会下载执行远程 xml 文件中的命令。

值得注意的是最初发布该报告的微信公众号棉花糖 Fans 已经删除报告，原因是该网盘所属企业施加的压力，该公司说法也存在前后矛盾的地方，例如称漏洞为其他研究人员提交但被审核忽略，又表示漏洞还在内部处理中不能公开透露漏洞细节。

目前还搞不清楚这家公司这前后不搭的说法到底是怎么回事，但既然已经忽略该漏洞为什么又要修复呢？说明该漏洞还是存在危害性的，负责审核漏洞的人估计存在问题。