关于MeterSphere远程代码执行漏洞的安全告知

时间:2022-01-13 10:13:18来源:信息安全服务部作者:梦之想科技

MeterSphere 是一款涵盖测试跟踪、接口测试、性能测试、团队协作等功能的开源持续测试平台,可有效助力开发和测试团队充分利用云弹性进行高度可扩展的自动化测试,加速高质量软件的交付。

漏洞详情

近日,MeterSphere 官方发布安全更新通告,修复了影响 MeterSphere v1.13.0 - v1.16.3 版本的远程代码执行漏洞,该漏洞由于 plugin 接口未做鉴权导致,致使攻击者无需经过身份验证即可通过构造特定的请求在目标系统上远程执行任意代码。

影响范围

MeterSphere v1.13.0 - v1.16.3

修复建议

MeterSphere 官方已经发布了解决上述漏洞的安全更新,建议受影响用户尽快升级到安全版本。下载链接:
https://community.fit2cloud.com/#/products/metersphere/downloads


参考链接

https://blog.fit2cloud.com/?p=3193