本文共 525 字，大约阅读时间需要 1 分钟。

MeterSphere 产品简介

MeterSphere 是一站式开源持续测试平台，整合了测试跟踪、接口测试、UI 测试和性能测试等功能，完美兼容 JMeter、Selenium 等主流开源标准，为开发人员和测试人员提供了全面的测试解决方案。

安全告知：文件读取漏洞

系统中 /api/jmeter/download/files 路径存在文件读取漏洞，攻击者可利用此漏洞读取重要系统文件，如数据库配置文件、系统配置文件等，造成网站安全性严重受损。

影响范围

该漏洞影响 MeterSphere 的以下版本：

• MeterSphere v2.6.2 及之前版本
• MeterSphere v1.20.19 LTS 及之前版本

漏洞复现环境

系统运行中存在该漏洞，建议及时修复以保障系统安全。

漏洞复现示例

PoC 提供以下示例：

POST /api/jmeter/download/files HTTP/1.1

转载地址：http://sryfk.baihongyu.com/