一、漏洞概述
1月6日,绿盟科技CERT监测发现FIT2CLOUD飞致云发布通告,修复了MeterSphere一站式开源持续测试平台存在的远程代码执行漏洞。由于自定义插件功能处存在缺陷,未经身份验证的攻击者可利用该漏洞在目标系统上远程执行任意代码。请相关用户尽快采取措施进行防护。
MeterSphere是由杭州飞致云信息科技有限公司开发的一站式开源持续测试平台, 涵盖测试跟踪、接口测试、性能测试、 团队协作等功能。兼容 JMeter、Postman、Swagger 等开源、主流标准,助力开发和测试团队利用云弹性进行高度可扩展的自动化测试。
参考链接:
二、影响范围
受影响版本
- 1.13.0 <= MeterSphere <= 1.16.3
不受影响版本
- MeterSphere >= v1.16.4
三、漏洞防护
3.1 官方升级
目前官方已发布新版本修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接: https://community.fit2cloud.com/#/products/metersphere/downloads
如果您已经部署了 MeterSphere v1.4.3 及以上版本,可通过如下命令一键升级至最新版本:
msctl upgrade
3.2 其他防护建议
避免把MeterSphere的服务端口开放到公网,并通过安全设备进行访问控制。
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。