漏洞风险提示（20250905）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 百度网盘Windows客户端远程命令执行漏洞（QVD-2025-34029）
一、漏洞描述：
        
        百度网盘Windows客户端是百度推出的个人云存储客户端，支持多端同步、大文件传输、AI智能分类及隐藏空间加密保护。
        百度网盘Windows客户端安装后，后台程序将监听本地10000端口并处理HTTP（HTTPS）请求。其中OpenSafeBox存在命令注入漏洞，攻击者可诱导受害者点击恶意HTML页面实现远程命令执行从而获取系统权限。
二、风险等级：
        高
三、影响范围：
        百度网盘Windows客户端 < 7.60.5.102
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://pan.baidu.com/download#win

---

2 Gitblit存在身份认证绕过漏洞（CVE-2024-28080）
一、漏洞描述：
        
        Gitblit是一款开源的、纯Java Git解决方案，用于管理、查看和提供Git仓库服务，它支持通过GIT、HTTP和SSH传输方式提供仓库服务。
        Gitblit SSH身份认证机制存在逻辑缺陷，攻击者可通过提供与目标用户名关联的有效公钥并触发签名验证失败，导致认证流程异常回退至基于密码的认证阶段并提前返回认证成功状态，从而绕过身份验证。
二、风险等级：
        高
三、影响范围：
        Gitblit < v1.10.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.gitblit.com/releasenotes.html

---

3 Adobe Substance3D Modeler越界写入漏洞 (CVE-2025-49573)
一、漏洞描述：
        
        Adobe Substance3D Modeler是美国奥多比（Adobe）公司的一款3D建模软件。
        Adobe Substance3D Modeler 1.22.0版本及之前版本存在越界写入漏洞，该漏洞源于越界写入，攻击者利用该漏洞可能导致执行任意代码。
二、风险等级：
        高
三、影响范围：
        Adobe Adobe Substance3D Modeler <= 1.22.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://helpx.adobe.com/security ... eler/apsb25-76.html

---

4 WordPress插件ATT YouTube Widget跨站请求伪造漏洞（CVE-2025-48359 ）
一、漏洞描述：
        
        WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
        该插件未对关键操作实施 CSRF 令牌（nonce）验证，攻击者可通过诱导管理员点击恶意链接，在已登录状态下执行未授权操作，如修改插件设置或注入恶意脚本。
二、风险等级：
        高
三、影响范围：
        WordPress ATT YouTube Widget plugin <=1.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://patchstack.com/database/wordpress/plugin/att-youtube

---