SonarQube api 未授权访问(CVE-2020-27986)漏洞风险通告,腾讯安全支持检测拦截

  • A+
所属分类:安全漏洞

腾讯安全攻防团队A&D Team

腾讯安全 企业安全运营团队


SonarQube系统在默认配置下,会将通过审计的源代码上传至SonarQube平台。由于SonarQube缺少对API接口访问的鉴权控制。攻击者利用该漏洞,可在未授权的情况下通过访问上述API接口,获取SonarQube平台上的程序源代码,构成项目源代码数据泄露风险。腾讯安全专家建议受影响的用户将SonarQube升级到最新版本。


1

漏洞描述


SonarQube系统在默认配置下,会将通过审计的源代码上传至SonarQube平台。由于SonarQube缺少对API接口访问的鉴权控制。攻击者利用该漏洞,可在未授权的情况下通过访问上述API接口,获取SonarQube平台上的程序源代码,构成项目源代码数据泄露风险。


SonarQube 8.4.2.36762 允许远程攻击者通过 api/settings/values URI 发现明文 SMTP、SVN 和 GitLab 凭据。注意:据报道,供应商对 SMTP 和 SVN 的立场是“配置它是管理员的责任”。

该漏洞为2020年10月披露,近期发现较多境外媒体爆料多起源代码泄露事件,涉及我国多个机构和企业的SonarQube代码审计平台。

SonarQube是一个开源代码质量管理和分析审计平台,支持包括Java,C#,C/C++,PL/SQL,Cobol,JavaScript,Groovy等二十余种编程语言的代码质量管理,可以对项目中的重复代码、程序错误、编写规范、安全漏洞等问题进行检测,并将结果通过SonarQube Web界面进行呈现。


2

漏洞编号


CVE-2020-27986


3

漏洞等级


高危,CVSS评分7.5


漏洞状态:

漏洞细节

漏洞PoC

漏洞EXP

在野利用

已公开

已公开

已公开

已存在


4

受影响的版本


SonarQube < 8.6


5

安全版本


SonarQube >=8.6


6

漏洞修复建议


腾讯安全专家建议受影响的用户将SonarQube升级到最新版本。

7

腾讯安全解决方案

腾讯T-Sec漏洞扫描服务已支持检测全网资产是否存在SonarQube api未授权访问(CVE-2020-27986)漏洞;
腾讯T-Sec高级威胁检测系统(NTA,御界)规则库日期2021-11-15之后的版本,已支持检测利用SonarQube api 未授权访问(CVE-2020-27986)漏洞的攻击活动;

腾讯T-Sec云防火墙规则库已灰度上线,支持检测阻断利用SonarQube api未授权访问(CVE-2020-27986)漏洞的攻击。


参考链接:

https://nvd.nist.gov/vuln/detail/CVE-2020-27986
https://www.secrss.com/articles/35880


SonarQube api 未授权访问(CVE-2020-27986)漏洞风险通告,腾讯安全支持检测拦截


关于腾讯安全威胁情报中心


腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

SonarQube api 未授权访问(CVE-2020-27986)漏洞风险通告,腾讯安全支持检测拦截

长按识别二维码获取第一手威胁情报

SonarQube api 未授权访问(CVE-2020-27986)漏洞风险通告,腾讯安全支持检测拦截

原文始发于微信公众号(腾讯安全威胁情报中心):SonarQube api 未授权访问(CVE-2020-27986)漏洞风险通告,腾讯安全支持检测拦截

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: