MeterSphere | CVE-2023-38494

admin 2024年5月18日11:28:32评论5 views字数 1120阅读3分44秒阅读模式
免责声明  由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

MeterSphere | CVE-2023-38494

| 0x01 漏洞介绍

MeterSphere是一站式开源持续测试平台,涵盖测试跟踪、接口测试、性能测试、团队协作等功能,兼容 JMeter 等开源标准,有效助力开发和测试团队充分利用云弹性进行高度可扩展的自动化测试,加速高质量软件的交付。该产品,由于没有对/get/all、/all/{userId}等接口做权限认证,未授权的攻击者可以通过访问这些接口,获取敏感信息。

| 0x02 语法特征

icon_hash="-1492865286"

MeterSphere | CVE-2023-38494

| 0x02 影响产品

MeterSphere 

| 0x03 漏洞分析

Details

1、https://github.com/metersphere/metersphere/blob/v2.10/system-setting/backend/src/main/java/io/metersphere/controller/GroupController.java

GroupController中,/get/all和/all/{userId}这两个接口会返回部分用户信息,接口上未作权限配置,认证用户都可调用
MeterSphere | CVE-2023-38494

2、/all/{userId}返回了用户的信息,包含团队的workspaceId、id、azureDevopsId、zentaoId等诸多数据;
同样的,getProjectMembers未作鉴权
MeterSphere | CVE-2023-38494

另外还有几个bug是在MeterSphere官网,Cloud版MeterSphere入口,这一列功能中几乎都有接口未作鉴权的导致的风险

3、https://www.metersphere.com/member,查看成员管理
MeterSphere | CVE-2023-38494

4、调用了接口https://www.metersphere.com/prod-api/team/id/users/1/10,通过修改路径变量id,就可以查看其他团队的邮箱、name、手机号、id等信息
MeterSphere | CVE-2023-38494

5、团队信息查看,
MeterSphere | CVE-2023-38494

6、调用了接口https://www.metersphere.com/prod-api/team/id/users,通过修改路径变量id,就可以查看其他团队的邮箱、name、手机号、id等信息
MeterSphere | CVE-2023-38494

| 0x04 参考链接

https://github.com/metersphere/metersphere/security/advisories/GHSA-fjp5-95pv-5253

技术交流可加下方wx

MeterSphere | CVE-2023-38494

MeterSphere | CVE-2023-38494

MeterSphere | CVE-2023-38494

MeterSphere | CVE-2023-38494

原文始发于微信公众号(WK安全):MeterSphere | CVE-2023-38494

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月18日11:28:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   MeterSphere | CVE-2023-38494https://cn-sec.com/archives/2041418.html

发表评论

匿名网友 填写信息