2023年3月16日,来自C3sec安全团队的ghostaatrox向MeterSphere开源项目组上报一处安全漏洞,此次发现的漏洞为系统命令reverse-shell可以在自定义代码片段函数中执行,漏洞编号为CVE-2023-29944,漏洞详情请查看:
■ https://github.com/metersphere/metersphere/security/advisories/GHSA-5473-9v2g-rpqm
2023年4月12日,来自中科院计算所程序分析团队的专家lujie向MeterSphere开源项目组上报一处安全漏洞,此次发现的漏洞为权限管理存在IDOR漏洞,漏洞编号为CVE-2023-30550,漏洞详情请查看:
■ https://github.com/metersphere/metersphere/security/advisories/GHSA-j5cq-cpw2-gp2q
2023年5月16日,来自山东大学网络空间安全学院(研究院)的学员郭昊衫向MeterSphere开源项目组上报一处安全漏洞,此次发现的漏洞为认证校验存在DoS漏洞,漏洞编号为CVE-2023-32699,漏洞详情请查看:
■ https://github.com/metersphere/metersphere/security/advisories/GHSA-qffq-8gf8-mhq7
以上漏洞影响版本为:
MeterSphere v2.9.1及之前的v2版本
MeterSphere v1.20.22 LTS及之前的v1版本
安全版本为:
MeterSphere v2版本>= v2.10.0 LTS版本
MeterSphere v1版本>= v1.20.23 LTS版本
修复方案
升级MeterSphere版本至上述安全版本。针对接口测试和性能测试自定义代码片段中存在的安全隐患,本次修复的方案为:
1. 彻底禁用主应用服务执行能力,所有执行请求统一由资源池处理。同时,资源池以非root用户运行,权限最小化且禁用大部分命令,即在独立的沙箱中运行脚本;
2. 对于含有脚本的执行资源,增加审核预警功能,可通过审核来进一步规避脚本中存在的安全性隐患。
特别鸣谢
感谢ghostaatrox(C3sec安全团队)、lujie(中科院计算所程序分析团队)、郭昊衫(山东大学网络空间安全学院研究院)向MeterSphere开源社区及时反馈上述漏洞。