2022年3月3日,LaiHan of NSFOCUS Security Team发现了MeterSphere开源持续测试平台的三处漏洞,并向MeterSphere开源项目组进行上报。此次发现的漏洞包括:
■ 未授权XXE漏洞(使用SAXReader导致的未授权XXE攻击漏洞);
■ Prometheus未授权访问漏洞(Prometheus组件未授权访问导致的敏感信息泄漏);
■ getMdImage函数未授权调用漏洞。
漏洞影响版本为:
MeterSphere v1.11.0 - v1.18.0
安全版本为:
MeterSphere >= v1.18.1
修复方案
升级MeterSphere版本至上述安全版本。
特别鸣谢
感谢LaiHan of NSFOCUS Security Team向MeterSphere开源社区及时反馈上述漏洞。