漏洞信息
# MeterSphere中存在下载文件的访问控制不当问题
## 漏洞概述
MeterSphere是一个开源的持续测试平台。在受影响的版本中,存在一个不适当的访问控制漏洞,允许任何用户在无需身份验证的情况下下载任何文件。这可能导致运行过程中可用的所有文件被暴露。
## 影响版本
- 1.20.20 LTS及之前版本
- 2.7.1及之前版本
## 漏洞细节
漏洞存在于`/api/jmeter/download/files`路径中,任何用户都可以利用这个漏洞在未经过身份验证的情况下下载文件。这可能导致存储在服务器上的所有文件被泄露。
## 影响
此漏洞可能泄露运行过程中可用的所有文件。该漏洞已在版本1.20.20 LTS和2.7.1中修复,建议用户升级到这些版本。目前没有已知的方法来缓解此漏洞。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Improper access control to download file in metersphere
漏洞描述信息
metersphere is an open source continuous testing platform. In affected versions an improper access control vulnerability exists in `/api/jmeter/download/files`, which allows any user to download any file without authentication. This issue may expose all files available to the running process. This issue has been addressed in version 1.20.20 lts and 2.7.1. Users are advised to upgrade. There are no known workarounds for this vulnerability.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
漏洞类别
授权机制缺失
漏洞标题
MeterSphere 安全漏洞
漏洞描述信息
MeterSphere是MeterSphere开源的一站式开源持续测试平台。 MeterSphere 1.20.20 lts 之前版本和 2.7.1之前版本存在安全漏洞,该漏洞源于文件/api/jmeter/download/files存在不正确的访问控制, 攻击者利用该漏洞可以下载任何文件。
CVSS信息
N/A
漏洞类别
其他