漏洞预警 | Metersphere路径遍历漏洞 - 一捧阳光 - 蜂窝互联

一捧阳光 - 蜂窝互联

漏洞预警 | Metersphere路径遍历漏洞

发布时间：2023-07-29 05:57:21

0x00 漏洞编号

CVE-2023-37461

0x01 危险等级

中危

0x02 漏洞概述

MeterSphere是一站式开源持续测试平台, 涵盖测试跟踪、接口测试、UI 测试和性能测试等功能。

0x03 漏洞详情

CVE-2023-37461

漏洞类型：路径遍历

影响：文件上传任意路径

简述：MeterSphere在v2.10.3 LTS之前版本中存在路径遍历漏洞，经过身份认证的攻击者可以在上传文件时通过控制belongType值为"../../../"将文件上传至任意文件夹中。

0x04 影响版本

MeterSphere < v2.10.3 LTS

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://metersphere.io/