选择你喜欢的标签
我们会为你匹配适合你的网址导航

    确认 跳过

    跳过将删除所有初始化信息

    MeterSphere未授权访问漏洞

    安全 2023-08-06 23:28

    声明:该文章由作者(不见星空)发表,转载此文章须经作者同意并请附上出处(0XUCN)及本页链接。。

    MeterSphere 是一站式开源持续测试平台,覆盖测试管理、接口测试、UI 测试和性能测试等。

    在 MeterSphere 受影响版本中,由于没有对 /get/all、/all/{userId} 等接口做权限认证,未授权的攻击者可以通过访问这些接口,获取所有团队的邮箱、name、手机号、id 等敏感信息。

    漏洞名称MeterSphere 未授权访问漏洞
    漏洞类型未授权敏感信息泄露
    发现时间2023-08-05
    漏洞影响广度一般
    MPS 编号MPS-gxew-hdmv
    CVE 编号CVE-2023-38494
    CNVD 编号-

    影响范围

    io.metersphere:metersphere-sdk@(-∞, 2.10.4)

    io.metersphere:metersphere-project-management@(-∞, 2.10.4)

    io.metersphere:metersphere-system-setting@(-∞, 2.10.4)

    修复方案

    将组件 io.metersphere:metersphere-sdk 升级到 2.10.4 或更高版本

    将组件 io.metersphere:metersphere-project-management 升级到 2.10.4 或更高版本

    将组件 io.metersphere:metersphere-system-setting 升级到 2.10.4 或更高版本

    参考链接

    https://www.oscs1024.com/hd/MPS-gxew-hdmv

    https://nvd.nist.gov/vuln/detail/CVE-2023-38494

    关注我们

    [超站]友情链接:

    四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
    关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/

    图库