安全漏洞报告

MeterSphere漏洞说明及修复方案

2022-01-07

一、漏洞概述 

2022年1月5日,昆仑联通战略合作伙伴“知道创宇404积极防御实验团队”发现MeterSphere开源持续测试平台存在一处漏洞,并立即向MeterSphere研发团队进行反馈。

MeterSphere官方已经针对该漏洞进行了修复,同时建议使用MeterSphere平台用户,尤其是通过公网访问的用户尽快进行升级修复

现将此次漏洞做一简单说明,并提供修复方案供各位参考:



二、影响范围

通过此漏洞,攻击者可以在未授权的情况下执行远程代码,危害极大。


漏洞等级:严重

受影响版本:MeterSphere v1.13.0 - v1.16.3

不受影响版本:MeterSphere >= v1.16.4


三、潜在目标

通过ZoomEye网络空间搜索引擎关键字'title:"MeterSphere"',对潜在目标进行搜索,共得到763条IP历史记录,主要分布在中国、美国等国家。


四、漏洞防护 

官方升级>>

目前,MeterSphere官方已经修复了该漏洞,并发布最新版本,请用户尽快升级版本进行防护


官方下载链接:https://community.fit2cloud.com/#/products/metersphere/downloads


如果您已经部署了 MeterSphere v1.4.3 及以上版本,可通过如下命令一键升级至最新版本:

msctl upgrade


其他防护建议>>

避免把MeterSphere的服务端口开放到公网并通过安全设备进行访问控制。

返回列表
网站右侧客服图片