免责声明
由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负
责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除
并致歉。谢谢!
| 0x01 漏洞介绍
MeterSphere是一站式开源持续测试平台,涵盖测试跟踪、接口测试、性能测试、团队协作等功能,兼容 JMeter 等开源标准,有效助力开发和测试团队充分利用云弹性进行高度可扩展的自动化测试,加速高质量软件的交付。该产品,由于没有对/get/all、/all/{userId}等接口做权限认证,未授权的攻击者可以通过访问这些接口,获取敏感信息。
| 0x02 语法特征
icon_hash="-1492865286"
| 0x02 影响产品
MeterSphere
| 0x03 漏洞分析
Details
1、https://github.com/metersphere/metersphere/blob/v2.10/system-setting/backend/src/main/java/io/metersphere/controller/GroupController.java
GroupController中,/get/all和/all/{userId}这两个接口会返回部分用户信息,接口上未作权限配置,认证用户都可调用
2、/all/{userId}返回了用户的信息,包含团队的workspaceId、id、azureDevopsId、zentaoId等诸多数据;
同样的,getProjectMembers未作鉴权
另外还有几个bug是在MeterSphere官网,Cloud版MeterSphere入口,这一列功能中几乎都有接口未作鉴权的导致的风险
3、https://www.metersphere.com/member,查看成员管理
4、调用了接口https://www.metersphere.com/prod-api/team/id/users/1/10,通过修改路径变量id,就可以查看其他团队的邮箱、name、手机号、id等信息
5、团队信息查看,
6、调用了接口https://www.metersphere.com/prod-api/team/id/users,通过修改路径变量id,就可以查看其他团队的邮箱、name、手机号、id等信息
| 0x04 参考链接
https://github.com/metersphere/metersphere/security/advisories/GHSA-fjp5-95pv-5253
技术交流可加下方wx
原文始发于微信公众号(WK安全):MeterSphere | CVE-2023-38494
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论