2023年2月7日,GitHub Security Lab发现了MeterSphere开源持续测试平台的漏洞,并向MeterSphere开源项目组进行上报。此次发现的漏洞因MeterSphere文件下载访问权限校验控制不当导致,漏洞编号为CVE-2023-25573和CVE-2023-25814。漏洞详情请查看:
■ https://github.com/metersphere/metersphere/security/advisories/GHSA-mcwr-j9vm-5g8h
■ https://github.com/metersphere/metersphere/security/advisories/GHSA-fwc3-5h55-mh2j
漏洞影响版本为:
MeterSphere v2.6.2及之前的v2版本
MeterSphere v1.20.19 LTS及之前的v1版本
安全版本为:
MeterSphere v2版本>= v2.7.1版本
MeterSphere v1版本>= v1.20.20 LTS版本
修复方案
升级MeterSphere软件至上述安全版本。
特别鸣谢
感谢来自GitHub Security Lab的SuperXiaoxiong和lcxing向MeterSphere开源社区及时反馈上述漏洞。