发布日期：2023-03-08
更新日期：2023-05-30

受影响系统：

MeterSphere MeterSphere < 2.7.1
MeterSphere MeterSphere < 1.20.20

描述：

---

CVE(CAN) ID: CVE-2023-25573

MeterSphere是MeterSphere开源的一站式开源持续测试平台。
MeterSphere 1.20.20之前版本和2.7.1之前版本的/api/jmeter/download/files存在访问控制错误漏洞，攻击者可利用该漏洞在无需身份认证的情况下下载任意文件。

<**>

建议：

---

厂商补丁：

MeterSphere
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/metersphere/metersphere/security/advisories/GHSA-mcwr-j9vm-5g8h

浏览次数：434
严重程度：0（网友投票）