某网盘Windows客户端存在一个远程命令执行漏洞，后台程序监听本地10000端口，处理HTTP（HTTPS）请求，HTTP请求中的OpenSafeBox存在命令注入漏洞，攻击者可控制URL参数注入指定命令。 
影响范围： 版本小于等于7.59.5.104的客户端受影响（截至2025年9月3日最新版）。 
 [image] 
洞存在于客户端后台程序YunxxxxxxService.exe，它监听本地10000端口并处理HTTP请求，其中，OpenxxxxBox方法使用URL参数uk，该参数作为Nxxxxxk.exe命令行参数传递，由于没有对uk参数进行安全检测和过滤，存在命令行参数注入的风险，攻击者可以利用此漏洞向Nxxxxk.exe注入任意命令行参数。 
攻击者可以将参数注入到安装系统程序的命令中，例如使用regsvr32.exe注册DLL文件，通过路径穿越构造DLL路径，劫持为系统自带...