2022年12月7日,GitHub Security Lab发现了MeterSphere开源持续测试平台的两处漏洞,并向MeterSphere开源项目组进行上报。此次发现的漏洞包括:
■ MeterSphere中的服务器端请求伪造导致跨站点脚本,漏洞编号为CVE-2022-23544,详情请查看:https://github.com/metersphere/metersphere/security/advisories/GHSA-vrv6-cg45-rmjj;
■ MeterSphere中的附件删除接口路径注入导致任意文件被删除,漏洞编号为CVE-2022-23512,详情请查看:https://github.com/metersphere/metersphere/security/advisories/GHSA-5mwp-xw7p-5j27;
2022年12月27日,来自huntr.dev的lujiefsi发现了MeterSphere开源持续测试平台的一处漏洞,并向MeterSphere开源项目组进行上报。此次发现的漏洞包括:
■ MeterSphere中的路径注入导致将文件上传到任意路径,漏洞编号为CVE-2022-46178,详情请查看:https://github.com/metersphere/metersphere/security/advisories/GHSA-9p62-x3c5-hr5p。
漏洞影响版本为:
MeterSphere v1.20.17 LTS及之前的v1版本
MeterSphere v2.4.1及之前的v2版本
安全版本为:
MeterSphere v2版本>= v2.5.1版本
MeterSphere v1版本>= v1.20.18 LTS版本
修复方案
升级MeterSphere软件至上述安全版本。
特别鸣谢
感谢来自GitHub Security Lab的Jorge Rosillo和来自huntr.dev的lujiefsi向MeterSphere开源社区及时反馈上述漏洞。