CVE-2022-23512

Versões do MeterSphere anteriores à 2.4.1

O problema diz respeito a uma vulnerabilidade de injeção de caminho na função ApiTestCaseService::deleteBodyFiles, que recebe uma string id controlada pelo usuário e usa o valor fornecido (testId) para construir um caminho de arquivo. Isso permite que um invasor vise arquivos no servidor adicionando parâmetros específicos à URL. A vulnerabilidade foi corrigida na versão 2.4.1.

Para versões anteriores à 2.4.1, atualize para a versão 2.4.1 para resolver o problema. Como solução temporária, considere restringir o acesso à função ApiTestCaseService::deleteBodyFiles para minimizar o risco de exploração. Evite usar entradas controladas pelo usuário para a variável testId no endpoint da API afetado até que o problema seja resolvido.