重要通知丨MeterSphere漏洞通知及修复方案(MS-2023.01.04)

发布于 2023年01月04日

2022年12月7日,GitHub Security Lab发现了MeterSphere开源持续测试平台的两处漏洞,并向MeterSphere开源项目组进行上报。此次发现的漏洞包括:

 MeterSphere中的服务器端请求伪造导致跨站点脚本,漏洞编号为CVE-2022-23544,详情请查看:https://github.com/metersphere/metersphere/security/advisories/GHSA-vrv6-cg45-rmjj

 MeterSphere中的附件删除接口路径注入导致任意文件被删除,漏洞编号为CVE-2022-23512,详情请查看:https://github.com/metersphere/metersphere/security/advisories/GHSA-5mwp-xw7p-5j27

2022年12月27日,来自huntr.dev的lujiefsi发现了MeterSphere开源持续测试平台的一处漏洞,并向MeterSphere开源项目组进行上报。此次发现的漏洞包括:

 MeterSphere中的路径注入导致将文件上传到任意路径,漏洞编号为CVE-2022-46178,详情请查看:https://github.com/metersphere/metersphere/security/advisories/GHSA-9p62-x3c5-hr5p

漏洞影响版本为:

MeterSphere v1.20.17 LTS及之前的v1版本

MeterSphere v2.4.1及之前的v2版本

安全版本为:

MeterSphere v2版本>= v2.5.1版本

MeterSphere v1版本>= v1.20.18 LTS版本

修复方案

升级MeterSphere软件至上述安全版本。

特别鸣谢

感谢来自GitHub Security Lab的Jorge Rosillo和来自huntr.dev的lujiefsi向MeterSphere开源社区及时反馈上述漏洞。